Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Sécurité informatique

Stand: 31

publicité 
1. ------IND- 2014 0635 D-- FR- ------ 20150122 --- --- PROJET
Projet de loi
du gouvernement fédéral
Projet d’une loi visant à augmenter la sécurité des systèmes d’information (loi sur
la sécurité informatique)
A. Problème et objectif
L’utilisation de systèmes d’information (systèmes informatiques) et d’Internet avec son
grand nombre d’offres s’intensifie continuellement au niveau de l’État, de l’économie et
de la société. Une partie significative et grandissante de la vie privée et publique est
désormais mise en ligne ou influencée par Internet. Aujourd’hui, plus de la moitié des
entreprises implantées en Allemagne dépendent d’Internet tous secteurs d’activité
confondus. La numérisation de la société touche dans presque tous les aspects de la
vie, offrant de nouveaux potentiels, ainsi que de nouvelles marges de manœuvre et
synergies. Corrélativement, la dépendance aux systèmes informatiques augmente d’un
point de vue économique, sociétal et individuel, renforçant l’importance de l’accessibilité
et de la sécurité des systèmes ainsi que du cyberespace.
En Allemagne, la sécurité informatique mise en œuvre est désormais accrue. L’Office
fédéral de la sécurité informatique («Bundesamt für Sicherheit in der
Informationstechnik» ou BSI) collecte et analyse une multitude d’informations en
permanence afin d’évaluer en temps réel la menace présente sur l’espace cybernétique.
Ces collectes et analyses sont entre autres réalisées par CERT-Bund (équipe fédérale
d’intervention en cas d’urgence informatique) et par le centre fédéral informatique, ainsi
que dans certains cas par le centre fédéral de cyberdéfense créé en 2011. Les attaques
sont de plus en plus ciblées et elles sont de plus en plus pointues et complexes d’un
point de vue technique.
La loi doit permettre d’améliorer de manière significative la sécurité des systèmes
d’information (sécurité informatique) en Allemagne. Les nouvelles dispositions prévues
permettent de renforcer la protection des systèmes et plus particulièrement des biens
protégés pour assurer une sécurité informatique (accessibilité, intégrité, confidentialité et
authenticité) afin de faire face efficacement aux menaces informatiques actuelles et
futures. La loi a pour objectif d’améliorer la sécurité informatique des entreprises et la
protection déjà renforcée des citoyens sur Internet, ainsi que de conforter le BSI et
l’Office fédéral de la police criminelle (BKA) de ce point de vue.
-2La sécurité informatique des infrastructures situées au cœur du fonctionnement de notre
communauté est particulièrement cruciale. Les systèmes informatiques de ces
infrastructures critiques doivent être protégés et les réseaux nécessaires à leur
fonctionnement sont donc d’autant plus importants. Le niveau de sécurité informatique
des infrastructures critiques est actuellement très variable. Il existe des dispositions
juridiques précises en matière de sécurité informatique dans les infrastructures de
nombreux secteurs. Dans d’autres, elles sont cependant inexistantes. De nombreux
domaines sont dotés d’un vaste dispositif de gestion des risques et de sécurité, réalisent
des audits, échangent des informations et participent à des exercices. Dans d’autres
domaines, ces mesures n’existent pas ou sont encore rudimentaires. Cette situation
n’est pas acceptable compte tenu de l’intense interconnexion entre les infrastructures
critiques des différents secteurs et des importantes interdépendances qui en résultent.
B. Solution
Il faut combler les déficits en matière de sécurité informatique. Les exploitants
d’infrastructures critiques sont les principaux à devoir maintenir un niveau minimal de
sécurité informatique et à devoir notifier le BSI de tout incident en la matière en raison
des répercussions sociétales importantes pouvant résulter d’une défaillance ou d’une
atteinte à leurs infrastructures et en raison de la responsabilité qui leur incombe par
rapport à l’intérêt public. Les informations recueillies par le BSI sont analysées et mises
à la disposition des exploitants d’infrastructures critiques afin qu’ils puissent renforcer la
sécurité de leurs infrastructures dans les meilleurs délais. Les exploitants contribuent
également à l’amélioration de la sécurité informatique dans la mesure où ils ont pour
obligation d’informer le BSI de tout incident. En contrepartie, ils profitent également des
déclarations déposées par d’autres exploitants et de leur analyse par l’intermédiaire du
BSI, obtiennent une multitude d’informations et disposent de savoir-faire. Cela permet
en même temps de renforcer la fonction de conseil du BSI dans ce domaine.
Pour renforcer la protection des citoyens, les opérateurs de télécommunication, qui
jouent un rôle clé dans la sécurité de l’espace cybernétique, ont pour obligation de
fournir une sécurité informatique en prenant en compte l’état de la technique non
seulement pour protéger la confidentialité des télécommunications et les données
personnelles, mais aussi pour garantir l’accessibilité de leurs systèmes de
télécommunication et systèmes informatiques. L’Agence fédérale des réseaux contrôle
régulièrement que les dispositifs qui sont à la base de la sécurité informatique sont mis
en place au sein des entreprises. Cela permet globalement d’améliorer la résistance des
infrastructures de communication et de sécuriser la confidentialité, l’intégrité,
-3l’authenticité et l’accessibilité des systèmes informatiques et des données qu’ils
contiennent. Indirectement, la responsabilité des fabricants s’accroît du fait qu’ils doivent
également proposer des produits adaptés.
En outre, les opérateurs de télécommunication doivent immédiatement avertir le BSI par
l’intermédiaire de l’Agence fédérale des réseaux en cas d’incident informatique pouvant
impliquer un accès illicite aux systèmes des utilisateurs ou une dégradation de
l’accessibilité. Ils doivent informer également au plus vite les utilisateurs concernés par
les perturbations identifiées qui ont été occasionnées par des logiciels malveillants sur
les systèmes informatiques des utilisateurs.
Dans la mesure où une multitude d’attaques informatiques pourraient d’ores et déjà être
écartées par la mise en œuvre de mesures de sécurité normalisées, la sensibilisation
accrue des utilisateurs permise par la publication d’un rapport annuel fournissant les
informations prévues par la loi contribue de manière significative à l’amélioration de la
sécurité informatique. Le BSI joue un rôle accru comme bureau central national de la
sécurité informatique pour les autres États et en raison de sa participation à l’élaboration
d’un manuel de sécurité destiné aux opérateurs des réseaux de télécommunications a
été renforcé. En plus de ces mesures, les droits du BKA ont été élargis dans le domaine
de la cybercriminalité étant donné le nombre croissant d’attaques informatiques à
l’encontre des structures fédérales et des infrastructures critiques dans toute
l’Allemagne.
Les dispositions destinées aux exploitants des infrastructures critiques portent sur les
différentes exigences imposées à chaque secteur en matière de sécurité et l’obligation
de déclaration des incidents informatiques majeurs et correspondent en principe à la
proposition de la Commission d’une directive du Parlement européen et du Conseil
portant sur les mesures destinées à garantir une sécurité globale accrue dans l’Union
pour les réseaux et les systèmes informatiques.
C. Alternatives
Conservation de la situation juridique préexistante.
D. Dépenses budgétaires sans charges d’exécution
Aucune.
E. Charges d’exécution
E.1 Charges d’exécution pour les citoyens
-4Aucune charge d’exécution n’incombe aux citoyens.
E.2 Charges d’exécution pour le secteur économique
En ce qui concerne les charges d’exécution d’un point de vue économique, on distingue
parmi les titulaires d’un agrément aux termes de la loi sur l’utilisation de l’énergie
nucléaire les exploitants de réseaux d’approvisionnement en énergie et de dispositifs de
production d’énergie, certains opérateurs de télécommunication, d’autres exploitants
d’infrastructures critiques et certains prestataires de services télématiques.
Les charges d’exécution pour les exploitants d’infrastructures critiques sont les
suivantes:
 respecter le niveau minimal de sécurité informatique;
 réaliser un audit sécurité pour confirmer le respect ce niveau;
 instaurer et maintenir des modes opératoires permettant de déclarer les incidents
informatiques majeurs au BSI et;
 gérer un organisme de liaison.
Les charges d’exécution pour les titulaires d’un agrément aux termes de la loi sur
l’utilisation de l’énergie nucléaire sont les suivantes:
 instaurer des modes opératoires permettant
de déclarer les
incidents
informatiques au BSI.
Les charges d’exécution pour les exploitants de réseaux d’approvisionnement en
énergie et de dispositifs de production d’énergie considérés comme des infrastructures
critiques au sens de la loi sur le BSI sont les suivantes:
 instaurer des modes opératoires permettant
informatiques au BSI.
de déclarer les
incidents
Les charges d’exécution des exploitants de dispositifs de production d’énergie (y
compris les titulaires d’un agrément aux termes de l’article 7, paragraphe 1 de la loi sur
l’utilisation de l’énergie nucléaire) qui sont considérés comme des infrastructures
critiques au sens de la loi sur le BSI sont de plus les suivantes:
 respecter les exigences complémentaires imposées en matière de sécurité
informatique et;
 réaliser des contrôles afin de vérifier le respect des exigences imposées en
matière de sécurité.
-5Les charges d’exécution pour les prestations de services télématiques sont les
suivantes:
 assurer la protection de leurs dispositifs techniques par la mise en œuvre de
mesures respectueuses de l’état de la technique.
Les charges d’exécution pour les exploitants des réseaux de télécommunications et des
services de télécommunications publics sont les suivantes:
 assurer la protection de leurs dispositifs techniques par la mise en œuvre de
mesures respectueuses de l’état de la technique;
 maintenir et compléter des modes opératoires permettant de déclarer les
incidents informatiques à l’Agence fédérale des réseaux et;
 notifier aux utilisateurs que leurs systèmes informatiques ont été piratés lorsque
cet incident est identifié.
L’obligation de respecter un niveau minimal de sécurité informatique entraînera des
coûts supplémentaires dans les cas où l’actuel niveau de sécurité informatique est
insuffisant. Les dépenses occasionnées dépendent d’une part du niveau de sécurité
requis et d’autre part de l’état actuel des choses pour les destinataires de la loi. Les
dépenses occasionnées ne peuvent pas être quantifiées à l’avance. Il en est de même
pour les dépenses liées à l’audit sécurité ayant pour objectif de contrôler le respect du
niveau de sécurité requis. Les dépenses et les coûts occasionnés pour une certification
ou pour un audit dépendent fortement de la méthode de certification choisie et des
conditions de certification dans l’entreprise. Ces dépenses ne peuvent donc pas être
quantifiées à l’avance. L’obligation de gérer un organisme de liaison entraîne des
dépenses supplémentaires en l’absence d’un organisme de liaison adapté. Les coûts
qui en résultent dépendent de la manière dont son accessibilité est concrètement
assurée par l’exploitant de l’infrastructure critique. Sur ce point, la création d’un centre
principal commun peut faire baisser les coûts.
Les charges d’exécution annuelles devant être supportées par le secteur économique
pour la procédure de déclaration dépendent:
 du nombre d’entreprises soumises à l’obligation de déclaration;
 le nombre d’incidents devant être déclarés par année et par entreprise et;
 des dépenses occasionnées pour chaque déclaration.
Concrètement, le coût total pourra seulement être calculé lors de la promulgation du
décret aux termes de l’article 10 de la loi sur le BSI en se basant sur la méthode de
-6calcul présentée dans la deuxième partie de l’exposé des motifs, car le décret définira
de manière suffisamment concrète les destinataires des obligations en question et
indiquera le nombre correspondant d’exploitants d’infrastructures critiques qui seront
soumis à l’obligation de déclaration.
Lorsque les estimations courantes auront été réalisées, le nombre d’exploitants
d’infrastructures critiques soumis à l’obligation de déclaration s’élèvera au maximum
à 2 000 exploitants. En outre, il sera considéré qu’un exploitant déclare sept incidents de
sécurité informatique maximum par an. Étant donné que les incidents informatiques
survenus auprès des exploitants qui ne sont pas soumis à l’obligation légale de
déclaration doivent également être analysés et réglés, ainsi que faire l’objet d’un
rapport, des dépenses supplémentaires s’ajoutent aux frais administratifs seulement si
les incidents concernés sont systématiquement traités. En vertu des données
économiques se basant sur les calculs réalisés selon la méthode des coûts standards,
les coûts de traitement d’une déclaration se chiffrent actuellement à 660 euros par
notification (11 heures de travail au taux horaire de 60 euros). Actuellement, de tels
incidents informatiques sont déjà déclarés au BSI.
Si les calculs sont réalisés en supposant que 2 000 exploitants d’infrastructures critiques
déclarent sept incidents informatiques par an et que les dépenses supplémentaires liées
à leur traitement s’élèvent à 660 euros par déclaration, alors les charges d’exécution
annuelles totales liées à l’obligation de déclaration s’élèvent à 9,24 millions d’euros pour
les exploitants d’infrastructures critiques.
S’y ajoutent les charges d’exécution des exploitants de réseaux de télécommunications
publics et de services de télécommunications publics liées au maintien ou à
l’enrichissement des modes opératoires mis en œuvre dans le cadre de la déclaration
des incidents informatiques à l’Agence fédérale des réseaux. Étant donné qu’une
procédure établie existe déjà dans ce secteur d’activité pour déclarer les incidents
informatiques à l’Agence fédérale des réseaux et que la loi vient uniquement l’enrichir,
les dépenses supplémentaires qui en résultent ne peuvent pas être quantifiées. En vertu
des données économiques, les coûts de traitement d’une déclaration se chiffrent
actuellement également à 660 euros par déclaration dans ce secteur d’activité
(11 heures de travail au taux horaire de 60 euros). Il est supposé que les titulaires d’un
agrément définis par la loi sur l’utilisation de l’énergie nucléaire supportent également
des coûts correspondants par déclaration.
E.3 Charges d’exécution pour l’administration
-7Les incidents informatiques sont actuellement déjà déclarés aux autorités compétentes.
L’obligation légale de déclaration (en fonction du nombre d’exploitants d’infrastructures
critiques et du nombre de déclarations reçues) oblige le BSI à supporter la charge
de 115 à 216,5 postes budgétaires ou emplois occasionnant des frais de personnel et
charges salariales situés approximativement entre 8,95 et 15,867 millions d’euros par
an, ainsi que des frais uniques compris entre 5 et 7 millions d’euros environ en
contrepartie de biens meubles et immeubles.
Pour l’Office fédéral allemand de la protection de la population et de l’aide aux sinistrés
(Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ou BBK), les nouvelles
obligations de collaboration nécessitent 9 à 13 postes budgétaires ou emplois
équivalant à des frais de personnel et charges salariales situés entre 711 000 et
1 011 millions d’euros par an.
Pour l’Agence fédérale des réseaux (Bundesnetzagentur ou BNetzA), les nouvelles
obligations nécessitent jusqu’à 28 postes budgétaires ou emplois occasionnant des frais
de personnel et charges salariales d’environ 3 202 millions d’euros par an. De plus, les
frais uniques liés aux biens meubles et immeubles s’élèvent à 150 000 euros la
première année pour les obligations stipulées à l’article 109, paragraphe 4, phrases 7
et 8, ainsi qu’au paragraphe 5 de la loi sur les télécommunications.
Les services spécialisés du BKA doivent supporter la charge de 48 à 78 postes
budgétaires ou emplois équivalant à des frais de personnel et charges salariales situés
entre 3 226 et 5 310 millions d’euros par an. De plus, les frais liés aux biens meubles et
immeubles s’élèvent à 630 000 euros maximum par an.
En vertu des compétences définies à l’article 8b, paragraphe 2, point 4 de la loi sur le
BSI, le service spécialisé du Conseil constitutionnel allemand (Bundesamtes für
Verfassungsschutz ou BfV) doit supporter la charge de 26,5 à 48,5 postes budgétaires
ou emplois équivalant à des frais de personnel et charges salariales situés entre 1 836
et 3 253 millions d’euros par an. De plus, les frais liés aux biens meubles et immeubles
s’élèvent à 610 000 euros maximum par an.
En vertu des compétences définies à l’article 8b, paragraphe 2, point 4 de la loi sur le
BSI pour le contrôle des chemins des données étrangères visant à trouver les
signatures de logiciels malveillants et pour le traçage des logiciels malveillants à
l’étranger, les services spécialisés du Service de contre-espionnage allemand
(Bundesnachrichtendienst ou BND) ont besoin de 30 postes budgétaires ou emplois
maximum équivalant à des frais de personnel et charges salariales maximums de
-82 153 millions d’euros par an. De plus, les frais liés aux biens meubles et immeubles
s’élèvent à 688 000 euros par an maximum.
Pour le service spécialisé du ministère allemand de l’environnement, de la protection de
la nature, de la construction et de la sûreté nucléaire (Bundesministerium für Umwelt,
Naturschutz, Bau und Reaktorsicherheit ou BMUB), qui est chargé de la sécurité
nucléaire, les nouvelles obligations de collaboration liées au système central de
déclaration informatique du BSI aux termes de l’article 44b de la loi sur l’utilisation de
l’énergie nucléaire (nouvelle version) et à la fixation des exigences applicables aux
dispositifs de production d’énergie en matière de sécurité aux termes de l’article 11,
paragraphe 1b de la loi relative à la sauvegarde de l’approvisionnement en énergie
nécessitent 4 postes budgétaires ou emplois maximums équivalant à des frais de
personnel et charges salariales maximums de 240 000 euros par an.
Les commissaires fédéraux chargés de la protection des données et de la liberté
d’information sont obligés de supporter la charge de 2,4 à 7 postes budgétaires ou
emplois.
Les charges de l’Office fédéral de sécurité sociale du ressort du ministère allemand du
travail et des affaires sociales liées à sa mission de tutelle pour les bénéficiaires
allemands de la sécurité sociale sont attendues. Elles ne sont pas quantifiables avant la
promulgation du décret aux termes de l’article 10, paragraphe 1 de la loi sur le BSI. Il en
est de même pour les autorités de contrôle spécifiques (Office fédéral du transport de
marchandises, Office fédéral des chemins de fer, Office fédéral du transport aérien,
Office fédéral de contrôle de la sécurité aérienne, Direction générale des voies
navigables et de la navigation, Office fédéral de la navigation maritime et de
l’hydrographie) du ressort du ministère allemand des Transports et des Infrastructures
pour le secteur des transports et de la circulation.
En outre, les contrats de la République fédérale d’Allemagne conclus avec des tiers
soumis à la loi qui sont chargés d’exploiter les réseaux de communication sur ordre de
la République fédérale d’Allemagne et d’avoir recours aux prestations d’entreprises à
cet effet peuvent entraîner des obligations qui ne sont pas encore chiffrables à cette
heure.
Le besoin de biens mobiliers et immobiliers, de personnel, de postes budgétaires et
d’emplois sera compensé, en termes financiers et de postes, dans le plan budgétaire
concerné.
-9Les charges d’exécution des Länder et des communes ne sont pas chiffrables à cette
heure.
F. Autres coûts
Les mesures devant être mises en œuvre par les exploitants d’infrastructures critiques
occasionnent des coûts moindres, mais qui ne sont pas pour autant quantifiables. Ces
coûts sont liés à l’adaptation des procédures informatiques établies par les autorités
fédérales.
- 10 Projet d’une loi visant à augmenter la sécurité des systèmes d’information (loi sur
la sécurité informatique)
Du …
Notifiée conformément à la directive 98/34/CE du Parlement européen et du Conseil du
22 juin 1998 prévoyant une procédure d’information dans le domaine des normes et
réglementations techniques et des règles relatives aux services de la société de
l’information (JO L 204 du 21.7.1998, p. 37), modifiée en dernier lieu par l’article 26,
paragraphe 2, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du
25 octobre 2012 (JO L 316 du 14.11.2012, p. 12).
Le Bundestag a adopté la loi suivante:
Article premier
Amendement de la loi allemande sur le BSI
La loi sur le BSI du 14 août 2009 (Journal officiel de la République fédérale d’Allemagne
I, p. 2 821), modifiée en dernier lieu par l’article 3, paragraphe 7 de la loi du 7 août 2013
(Journal officiel de la République fédérale d’Allemagne I, p. 3 154), est modifiée comme
suit:
1. L’article premier est formulé comme suit:
«Article premier Office fédéral de la sécurité informatique
La République fédérale d’Allemagne possède un Office fédéral de la sécurité
informatique (dénommé office fédéral ci-après) qui joue le rôle d’autorité fédérale
supérieure. Cet office fédéral est chargé de la sécurité informatique sur le plan
national. Il est subordonné au ministère allemand de l’intérieur.»
2. Le paragraphe 10 suivant est ajouté à l’article 2:
«(10) Les infrastructures critiques au sens de la présente loi sont les institutions,
dispositifs ou partie de dispositifs qui:
- 11 1. font partie des secteurs de l’énergie, de l’informatique et des
télécommunications, du transport et de la circulation, de la santé, de l’eau, de
l’alimentation, de la finance et des assurances et;
2. présentent une importance capitale pour le fonctionnement de la communauté
nationale, car tout incident ou atteinte à ces infrastructures entraînerait des
difficultés d’approvisionnement considérables ou représenteraient une menace
pour la sécurité publique.
Les infrastructures critiques au sens de la présente loi sont définies plus
précisément par le décret d’application de la loi aux termes de l’article 10,
paragraphe 1.
3. L’article 3 est modifié comme suit:
a) Le paragraphe 1, phrase 2 est modifié comme suit:
aa) Au point 2, l’expression «est nécessaire pour garantir leurs intérêts en
matière de sécurité» est remplacée par l’expression «est également nécessaire
pour les tiers dans la mesure où cela est requis pour garantir leurs intérêts en
matière de sécurité».
bb) Au point 15, l’expression «infrastructures critiques» est remplacée par
l’expression «sécurité informatique des infrastructures critiques» et le point final
est remplacé par un point-virgule.
cc) Les points 16 et 17 suivants sont ajoutés:
«16. Fonction de bureau central de sécurité informatique dans le cadre de la
collaboration avec les organismes compétents à l’étranger au mépris des
compétences particulières d’autres organismes;
17. Fonction de bureau central chargé de la sécurité informatique des
infrastructures critiques aux termes des articles 8a et 8b.»
b) Le paragraphe 3 ci-après est inséré:
«(3) L’office fédéral peut conseiller et assister les exploitants d’infrastructures
critiques pour toute question portant sur la sécurité de leur système
informatique ou les renvoyer vers un prestataire de services de sécurité
dûment qualifié.»
4. Le titre de l’article 4 est formulé comme suit:
- 12 «Article 4
Bureau central de déclaration chargé de la sécurité informatique de la République
fédérale d’Allemagne».
5. L’article 7, paragraphe 1, phrase 1, est remplacé par les phrases suivantes:
«Pour remplir ses fonctions aux termes de l’article 3, paragraphe 1, phrase 2,
point 14, l’office fédéral peut:
1. adresser les avertissements suivants au public ou aux groupes concernés:
a) Avertissements sur les vulnérabilités de la sécurité mise en œuvre dans
des produits et services informatiques,
b) Avertissements sur les logiciels malveillants et,
c) Avertissements en cas de perte de données ou d’accès illicite à des
données;
2. recommander des mesures de sécurité et des produits spécifiques à utiliser
à cette fin.
L’office fédéral peut impliquer des tiers afin d’assurer les fonctions décrites à
la phrase 1 dans la mesure où cela est nécessaire pour adresser des mises
en garde efficaces en temps voulu.
6. L’article 7a ci-après est inséré après l’article 7:
«Article 7a
Contrôle de la sécurité informatique
«(1) L’Office fédéral peut contrôler les systèmes et produits informatiques mis à
disposition sur le marché ou dont la mise sur le marché est prévue dans le cadre
de ses fonctions; qui sont définies à l’article 3, paragraphe 1, phrase 2, points 1,
14 et 17. Pour ce faire, il peut avoir recours à l’assistance de tiers dans la mesure
où le fabricant des produits et systèmes concernés n’a aucun intérêt légitime qui
fait obstacle.
(2) Les résultats des contrôles réalisés peuvent uniquement être utilisés aux fins
décrites au paragraphe 1, phrase 1. L’office fédéral a le droit de compléter ses
- 13 connaissances et de les publier autant que nécessaire. Il doit cependant
préalablement demander l’avis du fabricant des produits et systèmes concernés
suffisamment à l’avance.»
7. Les articles 8 a à 8d ci-après sont insérés après l’article 8:
«Article 8a
Sécurité informatique
Infrastructures critiques
(1) Les exploitants d’infrastructures critiques s’engagent à mettre en place des
dispositions techniques et organisationnelles afin de prévenir tout piratage et
toute perturbation de ses systèmes informatiques, composants et processus
pouvant avoir des répercussions en matière d’accessibilité, d’intégrité,
d’authenticité et de confidentialité au plus tard deux ans après l’entrée en
vigueur du décret d’application aux termes de l’article 10, paragraphe 1. Ces
systèmes informatiques, composants et processus sont essentiels au bon
fonctionnement des infrastructures critiques qu’ils exploitent. À cet égard, l’état
de la technique doit également être pris en compte. Les mesures préventives
techniques et organisationnelles sont considérées comme adéquates si les
dépenses nécessaires à leur mise en œuvre ne sont pas disproportionnées par
rapport aux répercussions d’un incident ou d’un piratage des infrastructures
critiques concernées.
(2) Les exploitants d’infrastructures critiques et leurs organisations
interprofessionnelles peuvent proposer des normes de sécurité spécifiques à
leur secteur afin de répondre aux exigences décrites au paragraphe 1. L’Office
fédéral définit sur demande si ces propositions permettent de répondre aux
exigences définies au paragraphe 1. Cette décision est prise:
1. après consultation de l’Office fédéral allemand de la protection de la
population et de l’aide aux sinistrés;
2. d’un commun accord avec les autorités de contrôle compétentes de la
République fédérale d’Allemagne ou après consultation des autorités de
contrôles compétentes dans les autres cas.
(3) Les exploitants d’infrastructures critiques doivent prouver qu’ils répondent de
manière appropriée aux exigences décrites au paragraphe 1 au minimum tous
- 14 les deux ans. Le respect des exigences peut être confirmé par un audit de
sécurité, des contrôles ou des certifications. Les exploitants transmettent une
liste des audits, contrôles ou certifications réalisés à l’office fédéral et y joignent
les vulnérabilités mises en évidence. En présence de vulnérabilités, l’Office
fédéral peut demander aux exploitants de fournir la totalité des résultats de
l’audit, du contrôle ou de la certification et exiger qu’ils remédient à ces
vulnérabilités d’un commun accord avec les autorités de contrôle compétentes
de la République fédérale d’Allemagne ou après consultation des autorités de
contrôle compétentes dans les autres cas.
Article 8b
Bureau central de déclaration chargé de la sécurité informatique des
infrastructures critiques
(1) L’Office fédéral est le bureau central de déclaration pour les exploitants
d’infrastructures critiques pour toute affaire ayant trait à la sécurité informatique.
(2) Pour assurer cette mission, l’Office fédéral:
1. recueille et analyse les informations essentielles afin de se prémunir contre
toute menace informatique, en particulier les informations relatives aux
vulnérabilités, aux logiciels malveillants, aux piratages réussis ou aux tentatives
de piratage et aux méthodes observées à cet effet;
2. analyse leurs répercussions potentielles sur l’accessibilité des infrastructures
critiques en collaboration avec les autorités de contrôle et l’Office fédéral
allemand de la protection de la population et de l’aide aux sinistrés;
3. actualise continuellement son rapport sur l’état de la sécurité informatique des
infrastructures critiques;
4. informe immédiatement
a) les exploitants d’infrastructures critiques sur les informations les
concernant aux termes des points 1 à 3;
b) les autorités de contrôle compétentes et les autorités de contrôle
compétentes dans les autres cas sur les informations nécessaires au
respect de leurs obligations aux termes des points 1 à 3 et;
c) les autorités de contrôle compétentes des pays et les autorités
désignées à cet effet par chaque pays et indiquées à l’office fédéral
- 15 comme organisme central de liaison sur les informations nécessaires au
respect de leurs obligations aux termes des points 1 à 3.
(3) Les exploitants d’infrastructures critiques doivent désigner et indiquer à
l’Office fédéral un organisme de liaison à intégrer au système de communication
décrit à l’article 3, paragraphe 1, phrase 2, point 15 au cours des six mois
suivants l’entrée en vigueur du décret aux termes de l’article 10, paragraphe 1.
Les exploitants doivent s’assurer qu’ils sont joignables à tout moment à ce sujet.
La transmission d’informations émanant de l’office fédéral aux termes du
paragraphe 2, point 4 s’effectuera auprès de ces organismes de liaison.
(4) Les exploitants d’infrastructures critiques doivent immédiatement passer par
l’organisme de liaison pour déclarer à l’Office fédéral toute perturbation
significative affectant l’accessibilité, l’intégrité, l’authenticité et la confidentialité de
leurs systèmes, composants ou processus informatiques et pouvant affaiblir ou
dégrader le fonctionnement des infrastructures critiques qu’ils exploitent. La
déclaration doit comporter les informations portant sur la perturbation rencontrée,
ainsi que sur l’environnement technique dans lequel elle est survenue, en
particulier la cause supposée ou certaine de la perturbation, l’outil informatique
concerné et le secteur d’activité de l’exploitant. L’exploitant doit uniquement être
mentionné si la perturbation a réellement eu pour répercussion d’affaiblir ou de
dégrader le fonctionnement des infrastructures critiques.
(5) En plus de leur organisme de liaison aux termes du paragraphe 3, les
exploitants d’infrastructures critiques d’un même secteur peuvent désigner un
interlocuteur principal commun. Si un interlocuteur principal commun est désigné,
l’échange d’informations entre l’organisme de liaison et l’office fédéral s’effectue
généralement par l’intermédiaire de l’interlocuteur commun.
(6) Dans la mesure où des données personnelles sont recueillies, analysées et
utilisées dans le cadre de la présente disposition, il est interdit de traiter et
d’utiliser les paragraphes susmentionnés en dehors de ce cadre et à d’autres
fins. L’article 5, paragraphe 7, phrases 3 à 8 s’applique mutatis mutandis. Par
ailleurs, les dispositions de la loi allemande sur la protection des données
personnelles sont applicables.
Article 8c
Domaine d’application
- 16 (1) Les articles 8a et 8b ne sont pas applicables aux micro, petites et moyennes
entreprises au sens de la recommandation 2003/361/CE de la Commission du
6 mai 2003 concernant la définition des micro, petites et moyennes entreprises
(Journal officiel L 124 du 20.05.2003, p. 36). L’article 3, paragraphe 4 de la
recommandation n’est pas applicable.
(2) L’article 8a n’est pas applicable pour:
1. les exploitants d’infrastructures critiques dans la mesure où ils exploitent
un réseau public de télécommunications ou fournissent des services de
télécommunications publics;
2. les exploitants de réseaux d’approvisionnement en énergie et de
dispositifs de production d’énergie au sens de la loi relative à la
sauvegarde de l’approvisionnement en énergie du 7 juillet 2005 (Journal
officiel de la République fédérale d’Allemagne I, p. 1 970, 3 621), modifiée
en dernier lieu par l’article 3 de la loi du... (insérer: la date de promulgation
de la présente loi et la référence) dans sa version en vigueur;
3. les titulaires d’un agrément aux termes de l’article 7, paragraphe 1 de la
loi sur l’utilisation de l’énergie nucléaire dans la version publiée le
15 juillet 1985 (Journal officiel de la République fédérale d’Allemagne I,
p. 1 565), modifiée en dernier lieu par l’article 2 de la loi du... (insérer: la
date de promulgation de la présente loi et la référence) dans sa version en
vigueur pour le domaine d’application de l’agrément;
4. les exploitants d’infrastructures critiques qui doivent répondre aux
exigences imposées en vertu de la législation, ces exigences étant
semblables à celles de l’article 8a ou en constituant le prolongement.
(3) L’article 8b, paragraphes 3 à 5 ne sont pas applicables pour:
1. les exploitants d’infrastructures critiques dans la mesure où ils exploitent
un réseau public de télécommunications ou fournissent des services de
télécommunications publics;
2. les exploitants de réseaux d’approvisionnement en énergie et de
dispositifs de production d’énergie au sens de la loi relative à la
sauvegarde de l’approvisionnement en énergie;
- 17 3. les titulaires d’un agrément aux termes de l’article 7, paragraphe 1 de la
loi sur l’utilisation de l’énergie nucléaire pour le domaine d’application de
l’agrément;
4. les exploitants d’infrastructures critiques qui doivent répondre aux
exigences imposées en vertu de la législation, ces exigences étant
semblables à celles de l’article 8b, paragraphes 3 à 5 ou en constituant le
prolongement.
Article 8d
Demande de renseignements
(1) L’Office fédéral peut uniquement fournir des renseignements sur les
informations recueillies dans le cadre de l’article 8a, paragraphes 2 et 3 et sur les
déclarations aux termes de l’article 8b, paragraphe 4 sur demande, à des tiers, si
l’exploitant concerné des infrastructures critiques n’a aucun intérêt digne d’être
protégé qui fait obstacle et si l’on peut considérer que ces renseignements ne
menacent pas les principaux intérêts en matière de sécurité. L’accès à des
données personnelles est interdit.
(2) L’accès aux dossiers de l’Office fédéral pour les affaires mentionnées aux
articles 8a et 8b est uniquement autorisé pour les personnes impliquées dans le
processus et cela aux termes de l’article 29 de la loi fédérale sur la procédure
administrative.»
8. L’article 10 est modifié comme suit:
a) Le paragraphe 1 ci-après est inséré avant l’article premier:
«(1) Le ministère allemand de l’intérieur décide quelles institutions, quels
dispositifs ou quelles parties de dispositifs sont considérés comme infrastructures
critiques au sens de la présente loi en définissant les institutions, dispositifs ou
parties de dispositifs des différents secteurs d’activité cités à l’article 2,
paragraphe 10, phrase 1, point 2 en fonction de leur importance; cette dernière
se mesurant à partir des services à considérer comme critiques et des niveaux
d’approvisionnement à considérer comme vitaux. Pour définir ces infrastructures
critiques, le ministère allemand de l’intérieur publie des décrets qui ne nécessitent
pas l’accord du Conseil fédéral, mais la consultation des représentants
économiques, des exploitants concernés et des syndicats professionnels
- 18 concernés en accord avec le ministère allemand de l’économie et de l’énergie, le
ministère allemand de la justice et de la protection des consommateurs, le
ministère allemand des finances, le ministère allemand du travail et des affaires
sociales, le ministère allemand de l’alimentation et de l’agriculture, le ministère
allemand de la santé, le ministère allemand des transports et des infrastructures
numériques, le ministère allemand de la défense, le ministère allemand de
l’environnement, de la protection de la nature, de la construction et de la sûreté
nucléaire. L’accès aux dossiers portant sur l’élaboration ou la modification du
présent règlement est interdit.»
b) L’actuel paragraphe 1 devient le paragraphe 2 et l’expression «de l’économie
et de la technologie par décret» est remplacée par l’expression «de l’économie et
de la technologie par décret ne nécessitant pas l’accord du Conseil fédéral».
c) L’actuel paragraphe 2 devient le paragraphe 3 et, à la phrase 3, une virgule et
l’expression «ne nécessitant pas l’accord du Conseil fédéral» sont insérées après
le mot «décret».
9. L’article 13 suivant est ajouté:
«Article 13
Obligation d’établir un rapport
(1) L’Office fédéral informe le ministère allemand de l’intérieur de son activité.
(2) Les informations fournies aux termes du paragraphe 1 permettent
également d’expliquer au public les dangers qui menacent la sécurité
informatique par l’intermédiaire du ministère allemand de l’intérieur à l’aide
d’un rapport établi au moins une fois par an. L’article 7, paragraphe 1,
phrases 3 et 4 s’applique mutatis mutandis.»
- 19 Article 2
Amendement de la loi allemande sur l’utilisation de l’énergie nucléaire
L’article 44 ci-après est inséré après l’article 40 de la loi sur l’utilisation de l’énergie
nucléaire dans la version publiée le 15 juillet 1985 (Journal officiel de la République
fédérale d’Allemagne I, p. 1 565), modifiée en dernier lieu par l’article 5 de la loi du
28 août 2013 (Journal officiel de la République fédérale d’Allemagne I, p. 3 313):
«Article 44b
Modalités de déclaration en matière de sécurité informatique
Les titulaires d’un agrément aux termes des articles 6, 7 et 9 doivent
immédiatement déclarer au bureau central de déclaration, c’est-à-dire à l’Office
fédéral de la sécurité informatique, toute perturbation affectant leurs systèmes,
composants ou processus informatiques pouvant menacer ou troubler la sécurité
nucléaire des installations techniques d’une centrale concernées ou leur
fonctionnement ou l’ayant déjà mise en danger ou dégradée. L’article 8,
paragraphes 1, 2 et 6 de la loi sur le BSI s’applique mutatis mutandis. La
déclaration doit comporter les informations relatives à la perturbation rencontrée
et portant sur l’environnement technique dans lequel elle est survenue, en
particulier la cause supposée ou certaine de la perturbation et l’outil informatique
concerné. L’Office fédéral de la sécurité informatique transmet immédiatement
ces déclarations aux autorités de contrôle et de délivrance d’agréments
compétentes en matière de sécurité nucléaire en Allemagne et dans les Länder.»
- 20 Article 3
Amendement de la loi allemande relative à la sauvegarde de l’approvisionnement
en énergie
La loi relative à la sauvegarde de l’approvisionnement en énergie du 7 juillet 2005
(Journal officiel de la République fédérale d’Allemagne I, p. 1 970, 3 621), modifiée en
dernier lieu par l’article 6 de la loi du 21 juillet 2014 (Journal officiel de la République
fédérale d’Allemagne I, p. 1066), est modifiée comme suit:
1. L’article 11 est modifié comme suit:
a) Le paragraphe 1a est modifié comme suit:
aa) L’expression «qui permettent de gérer le réseau» située après le mot
«systèmes informatiques» est remplacée par l’expression «qui sont nécessaires
pour exploiter le réseau en toute sécurité».
bb) La phrase suivante est insérée après la phrase 2:
«Outre les exigences imposées, le manuel de sécurité contient les dispositions
décrivant les contrôles réguliers à réaliser pour répondre aux exigences en
matière de sécurité.»
cc) À la nouvelle phrase 4, l’expression «est supposé» est remplacée par
l’expression «existe».
dd) La nouvelle phrase 6 est formulée comme suit:
«À cette fin, l’autorité de régulation peut prendre des dispositions plus précises
concernant le format, le contenu et la présentation de la documentation à fournir
aux termes de la phrase 4.»
b) Les paragraphes 1b et 1c ci-après sont insérés après le paragraphe 1a:
«(1b) Les exploitants de dispositifs de production d’énergie qui ont été désignés
comme infrastructures critiques aux termes de l’article 10, paragraphe 1 de la loi
sur le BSI du 14 août 2009 (Journal officiel de la République fédérale
d’Allemagne I, p. 2821), modifiée en dernier lieu par l’article 8 de la loi du...
(insérer: la date de promulgation de la présente loi et la référence) dans sa
version en vigueur et qui sont raccordés à un réseau d’approvisionnement en
énergie doivent mettre en place un dispositif de sécurité convenable contre les
- 21 menaces pesant sur les systèmes de télécommunication, les systèmes
informatiques et les systèmes électroniques au cours des deux ans suivant
l’entrée en vigueur du décret aux termes de l’article 10, paragraphe 1 de la loi sur
le BSI. L’autorité de régulation rédige et publie un manuel de sécurité à cet effet
après consultation de l’Office fédéral de la sécurité informatique. Pour les
systèmes de télécommunications et les systèmes informatiques et électroniques
des dispositifs stipulés à l’article 7, paragraphe 1 de la loi sur l’utilisation de
l’énergie nucléaire, certaines exigences sont prioritaires en vertu de la loi sur
l’utilisation de l’énergie nucléaire. Les autorités de contrôle et de délivrance des
agréments chargées de la sécurité nucléaire dans la République fédérale
d’Allemagne et dans les Länder doivent participer à l’élaboration du manuel de
sécurité. Outre les exigences imposées, le manuel de sécurité contient les
dispositions décrivant les contrôles réguliers à réaliser pour répondre aux
exigences en matière de sécurité. Il est considéré qu’un dispositif de sécurité
convenable garantit le bon fonctionnement des dispositifs de production d’énergie
au sens de la phrase 1 dans la mesure où les instructions de ce manuel sont
respectées et l’exploitant du dispositif en fournit la preuve. L’Agence fédérale des
réseaux peut être amenée à vérifier la conformité de tels dispositifs de sécurité. À
cette fin, l’autorité de régulation peut prendre des dispositions plus précises
concernant le format, le contenu et la présentation de la documentation à fournir
aux termes de la phrase 6.
(1c) Les exploitants de dispositifs de production d’énergie désignés comme
infrastructures critiques aux termes de l’article 10, paragraphe 1 de la loi sur le
BSI au moment de l’entrée en vigueur du décret doivent immédiatement informer
l’Office fédéral de la sécurité informatique de toute perturbation significative
affectant l’accessibilité, l’intégrité, l’authenticité et la confidentialité de leurs
systèmes, composants ou processus informatiques et pouvant affaiblir ou
dégrader le fonctionnement des réseaux d’approvisionnement en énergie ou des
dispositifs de production d’énergie concernés ou les ayant déjà affaiblis ou
dégradés. La déclaration doit comporter les informations relatives à la
perturbation rencontrée et portant sur l’environnement technique dans lequel elle
est survenue, en particulier la cause supposée ou certaine de la perturbation et
l’outil informatique concerné. L’exploitant doit uniquement être mentionné si la
perturbation a réellement eu pour répercussion d’affaiblir ou de dégrader le
fonctionnement des infrastructures critiques. L’Office fédéral de la sécurité
- 22 informatique doit immédiatement transmettre les déclarations à l’Agence fédérale
des réseaux. L’Office fédéral de la sécurité informatique et l’Agence fédérale des
réseaux doivent s’assurer qu’il est impossible que les renseignements qui leur ont
été communiqués aux termes de la phrase 1 soient révélés sans autorisation.
L’accès aux dossiers de l’Office fédéral de la sécurité informatique et de l’Agence
fédérale des réseaux est interdit dans les cas stipulés aux articles 11a à 11c.
L’article 29 de la loi fédérale sur la procédure administrative demeure inchangé.
L’article 8d, paragraphe 1 de la loi sur le BSI s’applique mutatis mutandis.»
2. L’article 21e, paragraphe 5, est modifié comme suit:
a) À la phrase 1, dans la partie de la phrase située avant le numéro 1,
l’expression «jusqu’au moment fixé par décret aux termes de l’article 21i,
paragraphe 1, point 11, toutefois au moins» est insérée après l’expression
«peuvent encore être installés» et l’indication «2014» est remplacée par
l’indication «2015».
b) La phrase 3 est supprimée.
3. L’article 21f, paragraphe 2 est modifié comme suit:
a) À la phrase 1, l’expression «jusqu’au moment fixé par décret aux termes de
l’article 21i, paragraphe 1, point 11, toutefois au moins» est insérée après
l’expression «peuvent encore être installés» et l’indication «2014» est remplacée
par l’indication «2015».
b) La phrase 2 est supprimée.
4. À l’article 21i, paragraphe 1, point 11, l’expression «et un prolongement de délai
mentionné» est supprimée.
5. À l’article 59, paragraphe 1, phrase 2, l’expression «et la vérification» est insérée
après le mot «l’élaboration» et l’indication «phrase 2» située après l’indication
«article 11, paragraphe 1a» est remplacée par l’indication «et paragraphe 11b».
- 23 Article 4
Amendement de la loi allemande sur les services télématiques
La loi sur les services télématiques du 26 février 2007 (Journal officiel de la République
fédérale d’Allemagne I, p. 179), modifiée en dernier lieu par l’article premier de la loi du
31 mai 2010 (Journal officiel de la République fédérale d’Allemagne I, p. 692), est
modifiée comme suit:
1. L’article 13 est modifié comme suit:
a) Le paragraphe 7 ci-après est inséré après le paragraphe 6:
«(7) Dans la mesure où cela est possible techniquement et raisonnable
économiquement, les prestataires de services concernés doivent s’assurer,
par le biais de mesures techniques et organisationnelles afin de garantir
1. qu’il est impossible d’avoir accès illégalement aux dispositifs techniques
utilisés pour offrir leurs services télématiques et;
2. que lesdits dispositifs:
a) sont dotés d’un système de protection des données personnelles afin
d’empêcher toute infraction,
b) sont dotés d’un système de protection contre les perturbations, pour autant
que celles-ci soient conditionnées par des attaques extérieures;
dans le cadre des responsabilités qui leur incombent pour les services
télématiques qu’ils proposent à titre professionnel. Les mesures préventives
décrites à la phrase 1 doivent tenir compte de l’état de la technique. Une
mesure préventive aux termes de la phrase 1 implique principalement
l’utilisation d’une méthode de cryptage reconnue comme sûre.»
b) L’actuel paragraphe 7 devient le paragraphe 8.
2. À l’article 16, paragraphe 2, point 3, l’expression «ou au paragraphe 7, phrase 1,
point 1 ou 2, lettre a» est insérée après l’indication «article 13, paragraphe 4, phrase 1,
points 1 à 4 ou 5».
- 24 Article 5
Amendement de la loi allemande sur les télécommunications
La loi sur les télécommunications du 22 juin 2004 (Journal officiel de la République
fédérale d’Allemagne I, p. 1 190), modifiée en dernier lieu par l’article 22 de la loi du 25
juillet 2014 (Journal officiel de la République fédérale d’Allemagne I, p. 1266), est
modifiée comme suit:
1. Dans le sommaire, l’indication concernant l’article 109a est formulée comme suit:
«Article 109a Sécurité des données et sécurité informatique».
2. L’article 100, paragraphe 1, est formulé comme suit:
«(1) Dans la mesure où cela est nécessaire, le prestataire de services peut
relever et utiliser les données d’inventaire et les données relatives au trafic des
participants et utilisateurs afin d’identifier, de restreindre ou d’éliminer des
perturbations ou erreurs survenues sur des systèmes de télécommunications.
Cela est également valable pour les perturbations qui peuvent avoir pour
répercussion de limiter l’accessibilité aux services informatiques ou aux services
de communication ou de permettre un accès illicite aux systèmes informatiques
et aux systèmes de télécommunications des utilisateurs.»
3. L’article 109 est modifié comme suit:
a) La phrase suivante est insérée après le paragraphe 2, phrase 2:
«Les mesures préventives décrites à la phrase 2 doivent tenir compte de l’état de
la technique.»
b) Le paragraphe 4, phrase 7, est remplacé par les phrases suivantes:
«L’Agence fédérale des réseaux contrôle régulièrement que les dispositifs de
sécurité informatique sont mis en place. Ce contrôle doit être réalisé au moins
tous les deux ans.»
c) Le paragraphe 5 est formulé comme suit:
«(5) Les exploitants de réseaux de télécommunications publics et les prestataires
de services de télécommunications publics doivent immédiatement déclarer à
- 25 l’Agence fédérale des réseaux tout trouble affectant des réseaux de
télécommunication et:
1. constituant une atteinte grave de la sécurité,
2. pouvant constituer une atteinte grave de la sécurité.
Cela comprend également les perturbations qui peuvent limiter l’accessibilité des
services fournis sur ces réseaux ou permettre un accès illicite aux systèmes
informatiques et aux systèmes de télécommunications des utilisateurs.» La
déclaration doit comporter les informations relatives à la perturbation rencontrée
et portant sur l’environnement technique dans lequel elle est survenue, en
particulier la cause supposée ou certaine de la perturbation et l’outil informatique
concerné. En cas d’atteinte grave de la sécurité, l’Agence fédérale des réseaux
peut exiger un rapport détaillé décrivant cette atteinte de la sécurité et les actions
correctives mises en place. Dès lors qu’il s’agit d’atteinte à la sécurité
informatique, l’Agence fédérale des réseaux transmet immédiatement les
déclarations reçues et les informations concernant les actions correctives mises
en œuvre à l’Office fédéral de la sécurité informatique. Si nécessaire, l’Agence
fédérale des réseaux informe les autorités de régulation nationales des autres
États membres de l’Union européenne et l’Agence européenne de cybersécurité
des atteintes à la sécurité. L’Agence fédérale des réseaux peut informer le public
ou inviter les obligés aux termes de la phrase 1 à se charger de cette information
si elle parvient à la conclusion que l’annonce de l’atteinte à la sécurité est d’ordre
public. L’article 8d de la loi sur le BSI s’applique mutatis mutandis. L’Agence
fédérale des réseaux présente chaque année un rapport récapitulant les
déclarations reçues et les actions correctives mises en œuvre à la Commission
européenne, à l’Agence européenne de cybersécurité et à l’Office fédéral de la
sécurité informatique.
d) Au paragraphe 6, phrase 1, l’expression «après consultation de» est
remplacée par l’expression «en accord avec».
e) Le paragraphe 8 ci-après est inséré:
«L’Agence fédérale des réseaux informe immédiatement l’Office fédéral de la
sécurité informatique des cas de non-respect des exigences imposées en matière
de sécurité informatique, ainsi que des actions correctives exigées à ce propos
par l’Agence fédérale des réseaux.»
- 26 4. L’article 109a est modifié comme suit:
a) Le titre est formulé comme suit:
«Article 109a
Sécurité des données et sécurité informatique».
b) Le paragraphe 3 ci-après est inséré après le paragraphe 4:
«(4) Lorsqu’un prestataire de services est informé de la présence de
perturbations aux termes du paragraphe 1 et que ces perturbations
proviennent de systèmes informatiques d’utilisateurs, il doit avertir les
utilisateurs dès qu’il en est informé. Pour autant que cela soit possible
techniquement et raisonnable, il doit indiquer aux utilisateurs les moyens
techniques appropriés, efficaces et faciles qui leur permettront d’identifier et
d’éliminer ces perturbations.»
c) L’ancien paragraphe 4 devient le paragraphe 5.
5. L’article 149, point 21a, est formulé comme suit:
«qui, contrairement à l’article 109, paragraphe 5, phrase 1, point 1 n’effectue
aucune déclaration ou ne déclare pas correctement, intégralement ou en temps
voulu une atteinte portée aux réseaux ou services de télécommunications,»
- 27 Article 6
Amendement de la loi allemande sur le régime de la rémunération des
fonctionnaires et personnels assimilés
L’annexe I de la loi allemande sur le régime de la rémunération des fonctionnaires et
personnels assimilés dans la version publiée le 19 juin 2009 (Journal officiel de la
République fédérale d’Allemagne I, p. 1434), modifiée en dernier lieu par l’article 2 de la
loi du 25 novembre 2014 (Journal officiel de la République fédérale d’Allemagne I,
p. 1772), est modifiée comme suit:
1. Dans la catégorie «échelon B 6», l’indication «Président de l’Office fédéral de la
sécurité informatique» est supprimée.
2. Dans la catégorie «échelon B 7», l’indication «Président du Centre de formation de la
Bundeswehr» est supprimée et l’indication suivante est insérée: «Président de l’Office
fédéral de la sécurité informatique».
Article 7
Amendement de la loi allemande sur l’Office fédéral de la police criminelle
L’article 4, paragraphe 1, phrase 1, point 5 de la loi sur l’Office fédéral de la police
criminelle du 7 juillet 1997 (Journal officiel de la République fédérale d’Allemagne I,
p. 1650), modifiée en dernier lieu par l’article 3 de la loi du 20 juin 2013 (Journal officiel
de la République fédérale d’Allemagne I, p. 1602), est modifiée comme suit:
1. Dans la partie de la phrase située avant la lettre a, l’indication «l’article 303b» est
remplacée par l’indication «les articles 202a, 202b, 202c, 263a, 303a et 303b».
2. À la lettre b, l’expression «les autorités et structures de la République fédérale
d’Allemagne» est insérée avant le terme «considérés comme sensibles».
Article 8
Nouvel amendement de la loi allemande sur le BSI
L’article 10, paragraphe 3 de la loi sur le BSI modifiée en dernier lieu par l’article premier
de la présente loi est supprimé.
- 28 -
Article 9
Amendement de la loi allemande sur la réforme structurelle du droit fiscal de la
République fédérale d’Allemagne
L’article 3, paragraphe 7 de la loi sur la réforme structurelle du droit fiscal de la
République fédérale d’Allemagne du 7 août 2013 (Journal officiel de la République
fédérale d’Allemagne I, p. 3 154) est supprimé.
Article 10
Entrée en vigueur
La présente loi entre en vigueur le jour suivant celui de sa promulgation, sous réserve
des dispositions de la phrase 2. L’article 8 entre en vigueur le 14 août 2016.
- 29 Exposé des motifs
A. Partie générale
I. Motifs et contenu de la loi
La loi doit permettre d’améliorer de manière significative la sécurité des systèmes
d’information (sécurité informatique) en Allemagne. Les nouvelles dispositions prévues
permettent de renforcer la protection des systèmes et plus particulièrement des biens
protégés pour assurer une sécurité informatique (accessibilité, intégrité, confidentialité et
authenticité) et adapter les systèmes au contexte de sécurité informatique. La loi a pour
objectif d’améliorer la sécurité informatique des entreprises et la protection déjà
renforcée des citoyens sur Internet, ainsi que de conforter l’Office fédéral de la sécurité
informatique (BSI) et l’Office fédéral de la police criminelle (BKA) de ce point de vue.
Le projet de loi prévoit d’une part d’imposer aux exploitants d’infrastructures critiques le
respect d’un niveau de sécurité informatique minimal et d’autre part de leur rendre
obligatoire la déclaration de tout incident informatique majeur. D’autres obligations s’y
ajoutent pour les prestataires de services de télécommunications et de services
télématiques dans le cadre de la protection des citoyens, notamment pour leurs offres et
les processus informatiques qui les accompagnent.
II. Compétence législative de l’État fédéral
Concernant les modifications apportées à la loi sur le BSI (article premier) portant sur la
sécurité informatique des infrastructures critiques, la compétence législative de la
République fédérale d’Allemagne découle en partie des titres de compétences bien
spécifiques (transport aérien: article 73, paragraphe 1, point 6 de la constitution
allemande, transport ferroviaire: article 73, paragraphe 1, point 6a, article 74,
paragraphe 1, point 23 de la constitution allemande, navigation: article 74,
paragraphe 1, point 21 de la constitution allemande, santé: article 74, paragraphe 1,
point 19 de la constitution allemande ou télécommunications: article 73, paragraphe 1,
point 7 de la constitution allemande) et par ailleurs de la compétence législative
concurrente en matière de droit des affaires (article 74, paragraphe 1, point 11 de la
constitution allemande). Concernant l’amendement de la loi sur l’utilisation de l’énergie
nucléaire (article 2), la compétence législative de la République fédérale d’Allemagne
découle de l’article 73, paragraphe 1, point 14 de la constitution allemande. Pour
l’amendement de la loi relative à la sauvegarde de l’approvisionnement en énergie
- 30 (article 3) et la loi sur les services télématiques (article 4), la compétence législative de
la République fédérale d’Allemagne découle de la compétence législative concurrente
en matière de droit des affaires (article 74, paragraphe 1, point 11 de la constitution
allemande). Pour la République fédérale d’Allemagne, le bien-fondé du recours à cette
compétence législative résulte de l’article 72, paragraphe 2 de la constitution allemande.
Il est nécessaire de réglementer la loi fédérale en la matière afin de garantir l’unité
économique sur le territoire allemand dans l’intérêt de l’État central. Toute
réglementation par le législateur des Länder entraînerait des inconvénients
considérables pour l’économie nationale qui pourraient être inacceptables tant pour la
République fédérale d’Allemagne que pour les Länder. Il serait alors principalement à
craindre que le traitement de données courantes (par exemple les exigences imposées
aux exploitants d’infrastructures critiques concernant les mesures de sécurité à
respecter) conformément à une réglementation mise en place par les Länder crée des
distorsions de concurrence considérables et des entraves nuisibles à l’activité
économique entre les Länder.
Pour les amendements de la loi sur les télécommunications (article 5), la compétence
législative exclusive de la République fédérale d’Allemagne découle de l’article 73,
paragraphe 1, point 7 de la constitution allemande. En outre, la République fédérale
d’Allemagne dispose de la compétence législative aux termes de l’article 73,
paragraphe 1, point 8 de la constitution allemande relatif aux liens juridiques des
personnes au service de la République fédérale d’Allemagne et des collectivités
fédérales de droit public (article 6). L’amendement de la loi sur le BKA (article 7) repose
sur la compétence législative définie à l’article 73, paragraphe 1, point 10 de la
constitution allemande.
III. Charges d’exécution
1. Charges d’exécution pour les citoyens
Aucune charge d’exécution n’incombe aux citoyens.
2. Charges d’exécution pour le secteur économique
En ce qui concerne les charges d’exécution d’un point de vue économique, on distingue
parmi les titulaires d’un agrément aux termes de la loi sur l’utilisation de l’énergie
nucléaire les exploitants de réseaux d’approvisionnement en énergie et de dispositifs de
- 31 production d’énergie, certains opérateurs de télécommunication, d’autres exploitants
d’infrastructures critiques et certains prestataires de services télématiques.
Les charges d’exécution pour les exploitants d’infrastructures critiques sont les
suivantes:
 respecter le niveau minimal de sécurité informatique;
 réaliser un audit sécurité pour confirmer le respect ce niveau;
 instaurer et maintenir des modes opératoires permettant de déclarer les incidents
informatiques majeurs au BSI et;
 gérer un organisme de liaison.
Les charges d’exécution pour les titulaires d’un agrément aux termes de la loi sur
l’utilisation de l’énergie nucléaire sont les suivantes:
 instaurer des modes opératoires permettant
informatiques au BSI.
de déclarer les
incidents
Les charges d’exécution pour les exploitants de réseaux d’approvisionnement en
énergie et de dispositifs de production d’énergie considérés comme des infrastructures
critiques au sens de la loi sur le BSI sont les suivantes:
 instaurer des modes opératoires permettant
informatiques au BSI.
de déclarer les
incidents
Les charges d’exécution des exploitants de dispositifs de production d’énergie (y
compris les titulaires d’un agrément aux termes de l’article 7, paragraphe 1 de la loi sur
l’utilisation de l’énergie nucléaire) qui sont considérés comme des infrastructures
critiques au sens de la loi sur le BSI sont de plus les suivantes:
 respecter les exigences complémentaires imposées en matière de sécurité
informatique et;
 réaliser des contrôles afin de vérifier le respect des exigences imposées en
matière de sécurité.
Les charges d’exécution pour les prestations de services télématiques sont les
suivantes:
 assurer la protection de leurs dispositifs techniques par la mise en œuvre de
mesures respectueuses de l’état de la technique.
Les charges d’exécution pour les exploitants des réseaux de télécommunications et des
services de télécommunications publics sont les suivantes:
- 32  assurer la protection de leurs dispositifs techniques par la mise en œuvre de
mesures respectueuses de l’état de la technique;
 maintenir et compléter des modes opératoires permettant de déclarer les
incidents informatiques à l’Agence fédérale des réseaux et;
 notifier aux utilisateurs que leurs systèmes informatiques ont été piratés lorsque
cet incident est identifié.
L’obligation de respecter un niveau minimal de sécurité informatique entraînera des
coûts supplémentaires dans les cas où l’actuel niveau de sécurité informatique est
insuffisant. Les dépenses occasionnées dépendent d’une part du niveau de sécurité
requis et d’autre part de l’état actuel des choses pour les destinataires de la loi. Les
dépenses occasionnées ne peuvent pas être quantifiées à l’avance. Il en est de même
pour les dépenses liées à l’audit sécurité ayant pour objectif de contrôler le respect du
niveau de sécurité requis. Les dépenses et les coûts occasionnés pour une certification
ou pour un audit dépendent fortement de la méthode de certification choisie et des
conditions de certification dans l’entreprise. Ces dépenses ne peuvent donc pas être
quantifiées à l’avance. L’obligation de gérer un organisme de liaison entraîne des
dépenses supplémentaires en l’absence d’un organisme de liaison adapté. Les coûts
qui en résultent dépendent de la manière dont son accessibilité est concrètement
assurée par l’exploitant de l’infrastructure critique. Sur ce point, la création d’un centre
principal commun peut faire baisser les coûts.
Les charges d’exécution annuelles devant être supportées par le secteur économique
pour la procédure de déclaration dépendent:
 du nombre d’entreprises soumises à l’obligation de déclaration;
 le nombre d’incidents devant être déclarés par année et par entreprise et;
 des dépenses occasionnées pour chaque déclaration.
Concrètement, le coût total pourra seulement être calculé lors de la promulgation du
décret aux termes de l’article 10 de la loi sur le BSI en se basant sur la méthode de
calcul présentée dans la deuxième partie de l’exposé des motifs, car le décret définira
de manière suffisamment concrète les destinataires des obligations en question et
indiquera le nombre correspondant d’exploitants d’infrastructures critiques qui seront
soumis à l’obligation de déclaration.
- 33 Lorsque les estimations courantes auront été réalisées, le nombre d’exploitants
d’infrastructures critiques soumis à l’obligation de déclaration s’élèvera au maximum
à 2 000 exploitants. En outre, il sera considéré qu’un exploitant déclare sept incidents de
sécurité informatique maximum par an. Étant donné que les incidents informatiques
survenus auprès des exploitants qui ne sont pas soumis à l’obligation légale de
déclaration doivent également être analysés et réglés, ainsi que faire l’objet d’un
rapport, des dépenses supplémentaires s’ajoutent aux frais administratifs seulement si
les incidents concernés sont systématiquement traités. En vertu des données
économiques se basant sur les calculs réalisés selon la méthode des coûts standards,
les coûts de traitement d’une déclaration se chiffrent actuellement à 660 euros par
notification (11 heures de travail au taux horaire de 60 euros). Actuellement, de tels
incidents informatiques sont déjà déclarés au BSI.
Si les calculs sont réalisés en supposant que 2 000 exploitants d’infrastructures critiques
déclarent sept incidents informatiques par an et que les dépenses supplémentaires liées
à leur traitement s’élèvent à 660 euros par déclaration, alors les charges d’exécution
annuelles totales liées à l’obligation de déclaration s’élèvent à 9,24 millions d’euros pour
les exploitants d’infrastructures critiques.
S’y ajoutent les charges d’exécution des exploitants de réseaux de télécommunications
publics et de services de télécommunications publics liées au maintien ou à
l’enrichissement des modes opératoires mis en œuvre dans le cadre de la déclaration
des incidents informatiques à l’Agence fédérale des réseaux. Étant donné qu’une
procédure établie existe déjà dans ce secteur d’activité pour déclarer les incidents
informatiques à l’Agence fédérale des réseaux et que la loi vient uniquement l’enrichir,
les dépenses supplémentaires qui en résultent ne peuvent pas être quantifiées avec
fiabilité. En vertu des données économiques, les coûts de traitement d’une déclaration
se chiffrent actuellement également à 660 euros par déclaration dans ce secteur
d’activité (11 heures de travail au taux horaire de 60 euros). Il est supposé que les
titulaires d’un agrément définis par la loi sur l’utilisation de l’énergie nucléaire supportent
également des coûts correspondants par déclaration.
3. Charges d’exécution pour l’administration
Les incidents informatiques sont actuellement déjà déclarés aux autorités compétentes.
L’obligation légale de déclaration (en fonction du nombre d’exploitants d’infrastructures
critiques et du nombre de déclarations reçues) oblige le BSI à supporter la charge
- 34 de 115 à 216,5 postes budgétaires ou emplois occasionnant des frais de personnel et
charges salariales situés approximativement entre 8,95 et 15,867 millions d’euros par
an, ainsi que des frais uniques compris entre 5 et 7 millions d’euros environ en
contrepartie de biens meubles et immeubles.
Au-delà des responsabilités élargies du BSI, ses besoins en personnel découlent
principalement du fait que l’informatique soit utilisée très différemment dans les sept
secteurs d’activité des infrastructures critiques (INCRI) . Il en est de même pour les
composants, les produits, les systèmes et les services informatiques et de
communication (SIC) externes, ainsi que pour les dispositifs informatiques utilisés pour
sécuriser le fonctionnement des processus critiques eux-mêmes. Il faut en outre prendre
en compte le fait que, en comparaison avec l’informatique classique, les particularités de
l’environnement de chaque secteur d’activité doivent être envisagées indépendamment
pour les processus critiques. Cela nécessite donc également d’élargir notablement la
mission première et la compétence spécifique du BSI, qui se concentraient jusqu’à
présent en priorité sur la sécurité informatique de la République fédérale d’Allemagne.
Les conseils aux exploitants d’INCRI doivent se focaliser sur la sécurité des SIC afin
d’assurer la fourniture de services. Cela requiert de vastes connaissances sur le mode
de fonctionnement et l’architecture informatique des processus critiques de chaque
secteur et spécialité des INCRI. Les besoins en personnel identifiés sont liés à la
nécessité de regrouper l’expertise spécialisée requise et d’établir les bases de services
de conseil et d’accompagnement. En revanche, il est impossible de proposer
systématiquement des prestations de conseil personnalisées à chaque exploitant
d’infrastructures critiques. Dans une large mesure, déterminer les derniers progrès
techniques dans chaque spécialité des INCRI et valider les normes établies dans
chacune de ces spécialités requiert des compétences spécifiques et des ressources. Il
en est de même pour l’identification des vulnérabilités réelles et le contrôle des rapports
d’audit exigés. Il faut également disposer d’un savoir-faire spécifique dans chaque
secteur et spécialité des INCRIS afin d’évaluer les informations fournies au bureau de
déclaration, d’actualiser l’état de la sécurité informatique et d’envisager les
répercussions potentielles d’une déclaration ou d’une perturbation sur l’infrastructure
critique concernée ou sur sa filière. De plus, pour assurer sa mission de bureau de
déclaration dédié à la sécurité informatique, il est nécessaire que le centre du BSI se
mette à fonctionner vingt-quatre heures sur vingt-quatre et sept jours sur sept. Les
nouvelles missions du BSI entraîneront également de nouvelles perceptions de taxes.
Pour l’Office fédéral allemand de la protection de la population et de l’aide aux sinistrés
(Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ou BBK), les nouvelles
- 35 obligations de collaboration nécessitent 9 à 13 postes budgétaires ou emplois
équivalant à des frais de personnel et charges salariales situés entre 711 000 et
1 011 millions d’euros par an.
Pour l’Agence fédérale des réseaux (Bundesnetzagentur ou BNetzA), les nouvelles
obligations nécessitent jusqu’à 28 postes budgétaires ou emplois occasionnant des frais
de personnel et charges salariales d’environ 3 202 millions d’euros par an. De plus, les
frais uniques liés aux biens meubles et immeubles s’élèvent à 150 000 euros la
première année pour les obligations stipulées à l’article 109, paragraphe 4, phrases 7
et 8, ainsi qu’au paragraphe 5 de la loi sur les télécommunications.
Les services spécialisés du BKA doivent supporter la charge de 48 à 78 postes
budgétaires ou emplois équivalant à des frais de personnel et charges salariales situés
entre 3 226 et 5 310 millions d’euros par an. De plus, les frais liés aux biens meubles et
immeubles s’élèvent à 630 000 euros maximum par an.
En vertu des compétences définies à l’article 8b, paragraphe 2, point 4 de la loi sur le
BSI, le service spécialisé du Conseil constitutionnel allemand (Bundesamtes für
Verfassungsschutz ou BfV) doit supporter la charge de 26,5 à 48,5 postes budgétaires
ou emplois équivalant à des frais de personnel et charges salariales situés entre 1 836
et 3 253 millions d’euros par an. De plus, les frais liés aux biens meubles et immeubles
s’élèvent à 610 000 euros maximum par an.
En vertu des compétences définies à l’article 8b, paragraphe 2, point 4 de la loi sur le
BSI pour le contrôle des chemins des données étrangères visant à trouver les
signatures de logiciels malveillants et pour le traçage des logiciels malveillants à
l’étranger, les services spécialisés du Service de contre-espionnage allemand
(Bundesnachrichtendienst ou BND) ont besoin de 30 postes budgétaires ou emplois
maximum équivalant à des frais de personnel et charges salariales maximums de
2 153 millions d’euros par an. De plus, les frais liés aux biens meubles et immeubles
s’élèvent à 688 000 euros par an maximum.
Pour le service spécialisé du ministère allemand de l’environnement, de la protection de
la nature, de la construction et de la sûreté nucléaire (Bundesministerium für Umwelt,
Naturschutz, Bau und Reaktorsicherheit ou BMUB), qui est chargé de la sécurité
nucléaire, les nouvelles obligations de collaboration liées au système central de
déclaration informatique du BSI aux termes de l’article 44b de la loi sur l’utilisation de
l’énergie nucléaire (nouvelle version) et à la fixation des exigences applicables aux
dispositifs de production d’énergie en matière de sécurité aux termes de l’article 11,
- 36 paragraphe 1b de la loi relative à la sauvegarde de l’approvisionnement en énergie
nécessitent 4 postes budgétaires ou emplois maximums équivalant à des frais de
personnel et charges salariales maximums de 240 000 euros par an.
Les commissaires fédéraux chargés de la protection des données et de la liberté
d’information sont obligés de supporter la charge de 2,4 à 7 postes budgétaires ou
emplois.
Les charges de l’Office fédéral de sécurité sociale du ressort du ministère allemand du
Travail et des Affaires sociales liées à sa mission de tutelle pour les bénéficiaires
allemands de la sécurité sociale sont attendues. Elles ne sont pas quantifiables avant la
promulgation du décret aux termes de l’article 10 de la loi sur le BSI. Il en est de même
pour les autorités de contrôle spécifiques (Office fédéral du transport de marchandises,
Office fédéral des chemins de fer, Office fédéral du transport aérien, Office fédéral de
contrôle de la sécurité aérienne, Direction générale des voies navigables et de la
navigation, Office fédéral de la navigation maritime et de l’hydrographie) du ressort du
ministère allemand des Transports et des Infrastructures pour le secteur des transports
et de la circulation.
En outre, les contrats de la République fédérale d’Allemagne conclus avec des tiers
soumis à la loi qui sont chargés d’exploiter les réseaux de communication sur ordre de
la République fédérale d’Allemagne et d’avoir recours aux prestations d’entreprises à
cet effet peuvent entraîner des obligations qui ne sont pas encore chiffrables à cette
heure.
Le besoin de biens mobiliers et immobiliers, de personnel, de postes budgétaires et
d’emplois sera compensé, en termes financiers et de postes, dans le plan budgétaire
concerné.
Les charges d’exécution des Länder et des communes ne sont pas chiffrables à cette
heure.
- 37 IV. Autres frais
L’adaptation suivant les cas des procédures informatiques déjà mises en place par les
autorités fédérales dans le cadre des mesures devant être mises en œuvre par les
exploitants d’infrastructures critiques entraînera des coûts moindres qui ne sont toutefois
pas encore quantifiables.
V. Portée sur le plan de la politique d’égalité entre les hommes et les femmes
Le contenu des dispositions est neutre et n’a donc aucune portée sur le plan de l’égalité
homme femme. Le renforcement de la sécurité informatique concerne les femmes et les
hommes de la même manière, tant directement qu’indirectement. L’article premier,
paragraphe 2 de la loi allemande sur l’égalité entre les hommes et les femmes, qui exige
que les dispositions juridiques et administratives de la République fédérale d’Allemagne
soient également rédigées en mettant les femmes et les hommes sur un pied d’égalité,
a été pris en compte dans la formulation allemande de la loi. Cela a également été pris
en compte dans l’articulation de chaque texte de loi initial à amender.
VI. Durabilité
Avec le durcissement des normes de sécurité dans l’architecture de sécurité
informatique allemande, qui se diffuse de plus en plus à tous les niveaux de la société,
le projet de loi donne suite à l’idée directrice du gouvernement fédéral de se développer
durablement au sens d’une stratégie nationale durable.
VII. Contrôle démographique
Il est prévu que ce projet n’ait aucune répercussion démographique, entre autres sur le
nombre de naissances, la pyramide des âges, l’immigration, la répartition régionale de la
population ou les indices générationnels.
- 38 B. Partie spécifique
Concernant l’article premier (amendement de la loi sur le BSI)
Concernant le point 1 (Article premier – Office fédéral de la sécurité informatique)
La nouvelle version de l’article premier prend en considération le nouveau rôle du BSI.
En plus de se prémunir contre toute menace informatique visant la République fédérale
d’Allemagne, la mission du BSI s’est étoffée. Le BSI sert d’interlocuteur pour toutes les
questions de plus en plus nombreuses des citoyens, entreprises, administrations et
politiques ayant trait à la sécurité informatique. Sur le plan européen comme
international, le BSI est également l’interlocuteur national principal pour toutes les
questions de sécurité informatique et cybernétique en Allemagne. L’évolution du BSI,
qui devient l’autorité nationale compétente en matière de sécurité informatique, se
conforme à l’amendement de l’article premier.
Concernant le point 2 (Article 2 – Terminologie)
L’article 2, paragraphe 10, phrase 1, définit le terme «infrastructures critiques» au sens
des dispositions de la loi sur le BSI. Dans la mesure où, jusqu’à présent, aucune
définition réglementée légalement n’a été donnée aux infrastructures critiques en
Allemagne, il est nécessaire de définir le terme afin de déterminer les destinataires des
articles 8a et 8b de la loi sur le BSI.
La définition succède essentiellement au classement des infrastructures critiques qui a
été décidé au sein du gouvernement fédéral. Font partie de ce classement les secteurs
de l’énergie, de l’informatique et des télécommunications, du transport et de la
circulation, de la santé, de l’eau, de l’alimentation, de la finance et des assurances. Pour
permettre l’application des dispositions stipulées aux articles 8a et 8b de la loi sur le
BSI, il faut distinguer les infrastructures considérées comme critiques au sens de la loi
sur le BSI parmi toutes les structures, dispositifs ou partie de dispositifs de ces secteurs
d’activité, car les infrastructures considérées comme critiques présentent une
importance capitale pour le fonctionnement de la communauté nationale et la protection
des besoins primaires de la population, et sont donc particulièrement dignes d’être
protégées.
Tous les milieux concernés (administration, économie et sciences) doivent être
impliqués afin de continuer à préciser l’application de la loi sur le BSI. Les différents
- 39 critères à définir peuvent uniquement être définis correctement s’ils sont établis dans le
cadre d’un travail commun avec les représentants des exploitants d’infrastructures
critiques qui pourraient être concernés et en faisant appel à l’expertise de professionnels
externes. S’ajoute à cela le fait que les avancées techniques, les évolutions sociales et
les expériences réalisées dans le cadre de l’application des nouvelles dispositions
légales rendent les adaptations nécessaires le cas échéant. Les infrastructures critiques
peuvent donc exclusivement être déterminées avec précision par la promulgation d’un
décret aux termes de la phrase 2. Ce décret doit être promulgué sur la base de
l’article 10, paragraphe 1 de la loi sur le BSI. En l’occurrence, il est prévu de classer les
infrastructures critiques conformément à des critères qualitatifs et quantitatifs. Pour plus
de renseignements, se reporter aux explications fournies à l’article 10, paragraphe 1 de
la loi sur le BSI.
Les services administratifs du gouvernement et du parlement, les services administratifs
publics fédéraux et les méthodes qu’ils utilisent (y compris les méthodes utilisées dans
le cadre d’un contrat avec l’administration de la République fédérale d’Allemagne) ne
font pas partie des infrastructures critiques auxquelles s’adresse la loi sur le BSI. Dans
les cas présents, les dispositions particulières applicables sont celles des articles 4, 5
et 8 de la loi sur le BSI. Il en est de même pour les services administratifs des Länder et
des communes pour lesquels la République fédérale d’Allemagne ne dispose pas de
compétence législative. Il en est de même pour le secteur Culture et médias, car là
encore, la compétence législative dépend essentiellement des Länder.
Concernant le point 3 (Article 3 – Mission de l’office fédéral)
Concernant la lettre a (Modification des missions définies au paragraphe 1,
phrase 2)
Concernant la lettre double aa (Mise à disposition de conclusions dégagées)
L’amendement du paragraphe 1, phrase 2, point 2, permet de clarifier le fait que la
collecte et l’exploitation par le BSI d’informations concernant les vulnérabilités et les
mesures de sécurité permet de mettre les conclusions dégagées non seulement à la
disposition des autorités, mais aussi d’autres personnes («les tiers») dans la mesure où
ces conclusions présentent un intérêt en matière de sécurité. Cela permet une fois de
plus de souligner la valeur ajoutée que des connaissances élargies et une visualisation
améliorée de l’état de la sécurité informatique peuvent représenter pour l’économie et la
société. Dans cet esprit, les tiers sont également les exploitants d’infrastructures
- 40 critiques au sens de la loi sur le BSI. Il faut également que ces conclusions soient
destinées à d’autres institutions ou entreprises, à savoir celles qui n’exploitent pas des
infrastructures critiques au sens de la loi sur le BSI. Toutefois, elles doivent faire partie
du secteur d’activité généralement admis au sens large comme celui des infrastructures
critiques ou les informations mises à disposition doivent par ailleurs présenter un intérêt
légitime en matière de sécurité (par exemple des institutions du secteur Culture et
médias, qui n’a pas été retenu, ou des organismes scientifiques).
Concernant la lettre double bb (Sécurité informatique des infrastructures
critiques)
La lettre b contient des amendements rédactionnels.
Concernant la lettre double cc (Désignation de l’office fédéral comme bureau
central sur le plan international)
La pérennisation expresse de la fonction de bureau central du BSI en matière de
sécurité informatique dans le cadre de la collaboration avec les organismes étrangers
compétents par l’introduction du nouveau point 16 tient compte du rôle grandissant du
BSI comme interlocuteur national et international pour toutes les questions ayant trait à
la sécurité informatique et cybernétique en Allemagne. Les compétences spécifiques
des autres organismes dans le domaine de la sécurité cybernétique (du ministère
allemand des Affaires étrangères, du ministère allemand de la Défense, du Conseil
constitutionnel allemand ou du Service de renseignement allemand, par exemple)
restent inchangées.
Le point 17 constitue un enrichissement nécessaire de la fonction de bureau central
chargé de la sécurité informatique des infrastructures critiques que le BSI assume
depuis peu aux termes de la présente loi et qui est précisée aux articles 8a à 8c de la loi
sur le BSI.
Concernant la lettre b (Mission de l’office fédéral en matière de sécurité
informatique pour les infrastructures critiques)
Le paragraphe 3 autorise le BSI à conseiller et accompagner les exploitants
d’infrastructures critiques qui le demandent en matière de sécurité informatique et plus
particulièrement dans les démarches à suivre afin de répondre aux exigences aux
termes des articles 8a et 8b de la loi sur le BSI. Cela doit également être couvert par le
décret à promulguer aux termes de l’article 10, paragraphe 3 de la loi sur le BSI
- 41 (nouvelle version) comme une prestation publique pouvant être fournie au cas par cas
(tout autant que les dispositions de l’article 8a, paragraphe 2, phrase 2 de la loi sur le
BSI). Le BSI décide s’il donne suite à la demande recevable formulée par l’exploitant
d’une infrastructure critique après avoir dûment considéré la question. À ce propos, le
BSI peut également renvoyer l’exploitant vers un prestataire de services de sécurité
qualifié.
Concernant le point 4 (Article 4 – Bureau central de déclaration chargé de la
sécurité informatique de la République fédérale d’Allemagne)
La modification du titre permet de délimiter clairement la nouvelle mission du BSI aux
termes de l’article 8b de la loi sur le BSI.
Concernant le point 5 (Article 7, paragraphe 1 – Avertissements)
La nouvelle version du paragraphe 1, phrase 1 restructure les compétences
préexistantes du BSI et les enrichit du pouvoir d’émettre des avertissements en cas de
perte de données ou d’accès illicite à des données (point 1, lettre c). Cela permet de
clarifier le fait que, conformément à l’article 7, le BSI peut également être compétent
dans les cas où l’avertissement n’est pas émis en raison d’un logiciel malveillant ou
d’une vulnérabilité, mais bien plus en raison d’une perte de données ou d’un accès
illicite à des données. En règle générale, le BSI lance un avertissement suffisamment tôt
et informe les citoyens afin de limiter les dégâts, à moins que la formule d’un
avertissement présente des risques considérables en matière de sécurité.
La phrase 2 permet d’associer le BSI aux avertissements émis par des tiers jouant le
rôle d’intermédiaires pour diffuser des informations afin de clarifier également les choses
sous l’angle de la protection des données dans l’hypothèse où cela est nécessaire pour
émettre l’avertissement en temps voulu et de manière efficace et principalement afin de
toucher les personnes concernées aussi rapidement que possible. La phrase 2 ne
donne cependant pas la possibilité de recueillir des données supplémentaires auprès
des tiers. Un intermédiaire fournissant des informations est plus spécifiquement un
fournisseur ou prestataire de services auprès de clients.
Souvent, le BSI n’associe pas les données disparues directement aux personnes
concernées ou ne peut pas les communiquer lui-même sans informations
complémentaires. Pour avertir les personnes concernées efficacement, le BSI peut donc
se tourner vers lesdits intermédiaires en les priant de les appuyer dans leur mission. Les
- 42 intermédiaires fournissant des informations sont par exemple en mesure de contribuer à
l’information le plus rapidement possible des personnes concernées sur la base des
informations existantes qu’on leur transmet ou pour des raisons techniques.
Concernant le point 6 (Article 7a – Contrôle de la sécurité informatique)
Le paragraphe 1 doit apporter une sécurité juridique pour les contrôles étendus réalisés
par le BSI sur les produits informatiques (par exemple en ayant recours à la rétroingénierie) et sur les systèmes informatiques dans le cadre de sa mission aux termes de
l’article 3, paragraphe 1, phrase 2, points 1, 14 et 17 de la loi sur le BSI. L’habilitation
juridique du BSI permet que la collecte de données et d’informations sur la structure et
le mode de fonctionnement des produits et systèmes faisant l’objet des contrôles du BSI
ne soient pas considérés comme illégaux au sens de l’article 202a du Code pénal
allemand (CP) ou des articles 17 et suivants de la loi allemande contre la concurrence
déloyale («Gesetz gegen den unlauteren Wettbewerb» ou UWG). Par ailleurs, faire du
commerce dans l’intérêt de la concurrence, dans l’intérêt d’un particulier ou avec
l’intention de causer des dommages serait répréhensible aux termes des articles 17 et
suivants de la loi contre la concurrence déloyale.
Les produits et systèmes faisant l’objet des contrôles du BSI qui sont mis à disposition
sur le marché ou dont la mise sur le marché est prévue sont les produits et systèmes
mis à disposition par l’intermédiaire du BSI en vue d’une acquisition. L’expression
«produits mis à disposition sur le marché» s’appuie sur une expression équivalente
utilisée dans la loi sur la sécurité des produits. L’expression produits et systèmes faisant
l’objet des contrôles du BSI «dont la mise sur le marché est prévue» clarifie le fait que le
pouvoir d’enquête du BSI concerne également les produits et systèmes dont la mise sur
le marché a certes déjà été annoncée par des fabricants, mais qui ne sont généralement
pas encore disponibles sur le marché.
Les motifs du pouvoir d’enquête du BSI vis-à-vis des fabricants, prestataires et autres
institutions ne sont pas indiqués au paragraphe 1.
Concernant la sélection des tiers pouvant être chargés de l’enquête par le BSI aux
termes du paragraphe 1, phrase 2, le BSI doit prendre en considération les intérêts
dignes d’être protégés chez le fabricant. Cela implique que le BSI oblige les tiers
chargés d’enquêter de protéger la confidentialité en conséquence. À ce propos, il est
exclu qu’un concurrent direct du fabricant soit mandaté.
- 43 -
Le paragraphe 2 stipule les motifs auxquels les conclusions dégagées de l’enquête aux
termes du paragraphe 1 doivent être utilisées. Dans la mesure où cela est nécessaire, il
est en outre autorisé de transmettre et publier ces conclusions par l’intermédiaire du
BSI. Dans ce cas, le fabricant doit être préalablement consulté. Dans ce contexte (par
exemple en cas de vulnérabilités détectées), si le fabricant publie lui-même les
conclusions ou réussit à remédier au problème, il n’est pas nécessaire de publier
également ces conclusions par l’intermédiaire du BSI. Les conclusions stipulées dans le
présent paragraphe ne se rapportent pas à des données personnelles.
Concernant le point 7 (Article 8a – Sécurité informatique des infrastructures
critiques, Article 8b – Bureau central de déclaration chargé de la sécurité
informatique des infrastructures critiques, Article 8c – Domaine d’application et
Article 8d – Demande de renseignements)
Concernant l’article 8a (Sécurité informatique des infrastructures critiques)
Le paragraphe 1 traite du bon fonctionnement des infrastructures critiques au sens de la
loi sur le BSI, ainsi que de l’accessibilité continue des services proposés qui sont
considérés comme critiques dans le décret promulgué aux termes de l’article 10,
paragraphe 1 de la loi sur le BSI. Des exigences minimales spécifiquement sont
imposées aux différents secteurs d’activité en matière de sécurité informatique afin de
protéger les infrastructures critiques aux termes de l’article 2, paragraphe 10 de la loi sur
le BSI. Elles doivent permettre d’éviter toute perturbation de l’accessibilité, de l’intégrité,
de l’authenticité et de la confidentialité des systèmes, composants ou processus
informatiques (voir l’article 2, paragraphe 2 de la loi sur le BSI) essentiels pour le bon
fonctionnement des infrastructures critiques. Ces exigences impliquent également les
mesures de détection et de correction des perturbations.
Le recensement des systèmes informatiques, mais aussi des composants informatiques
qui sont utilisés dans ces systèmes ou dans d’autres systèmes, et le recensement des
processus informatiques (en d’autres termes des processus de traitement de
l’information) garantissent que les exploitants d’infrastructures critiques soient obligés de
mettre en place des mesures de sécurité à tous les niveaux où l’informatique a des
répercussions sur la fourniture de services critiques. Pour cela, il faut adopter des
mesures préventives appropriées d’un point de vue organisationnel et technique. Les
mesures prises concernant l’infrastructure et le personnel peuvent également faire partie
- 44 de ces mesures préventives. Les processus particulièrement critiques nécessitent la
mise en place de mesures de sécurité spécifiques par isolement. Ces mesures doivent
être prises au cas par cas et ces processus doivent soit être encore connectés à
Internet ou à des réseaux publics soit dépendre des services proposés sur Internet. La
nécessité de mettre en place des mesures préventives organisationnelles et techniques
s’impose également lorsque l’exploitant d’une infrastructure critique sous-traite son
informatique à un prestataire externe.
Lors de la mise en place de mesures préventives organisationnelles et techniques, l’état
de la technique doit être pris en compte en raison des répercussions considérables qu’il
a sur la société. Ici, l’état de la technique signifie le niveau de développement de
méthodes
innovantes,
d’installations
ou
de
modes
opératoires
qui laisse apparaître que l’application pratique d’une mesure permettant de protéger des
systèmes, composants ou processus informatiques contre toute atteinte à leurs
accessibilité, intégrité, authenticité et confidentialité. L’état de la technique doit être
déterminé en tenant particulièrement compte des normes internationales, européennes
et nationales s’y rapportant, mais aussi des méthodes, installations et modes
opératoires comparables qui ont été éprouvés dans la pratique. L’obligation de tenir
compte de l’état de la technique n’exclut pas la possibilité d’avoir recours à des mesures
préventives qui offrent une protection tout aussi efficace que les mesures préventives
admises par l’état de la technique.
Concernant la question de l’adéquation des mesures, les charges du fabricant résultent
principalement des investissements qu’il doit réaliser. Pour prouver le respect des
exigences minimales, les fabricants doivent intégrer ces exigences aux procédures de
sécurité et d’urgence correspondantes.
Le paragraphe 2 permet aux secteurs d’activité dans lesquels il est spécifiquement
judicieux d’élaborer des normes de sécurité propres à chaque secteur et de les
confirmer par la démarche coopérative telle qu’elle est fixée dans la stratégie nationale
de protection des infrastructures critiques et dans le programme UP KRITIS (programme
allemand de coopération entre les exploitants d’infrastructures critiques, les associations
professionnelles et les organismes fédéraux compétents) et les milieux professionnels
qu’il implique. L’objectif est que les exploitants d’infrastructures critiques se regroupent
au sein d’un même secteur et établissent des normes de sécurité propres à leur
domaine. À côté de cela, le programme UP KRITIS fournit également des structures
- 45 déjà adaptées et crée une plateforme de coopération entre l’État et des exploitants. En
outre, l’Institut allemand de normalisation étant l’organisme de normalisation national,
étant membre des organismes de normalisation internationaux et européens et offrant
une plateforme coopérative entre l’État et les sociétés des secteurs de l’informatique et
de la sécurité, il propose des structures adaptées et processus éprouvés. Les normes
de sécurité propres aux différents secteurs d’activité doivent également être
régulièrement adaptées afin de refléter l’état de la technique, qui ne cesse d’évoluer.
Les normes présentées doivent être évaluées et approuvées après consultation de
l’Office fédéral allemand de la protection de la population et de l’aide aux sinistrés et
d’un commun accord avec les autorités de contrôle compétentes en République fédérale
d’Allemagne ou après consultation des autorités de contrôles compétentes dans les
autres cas afin de garantir leur conformité et leur coordination avec les autres intérêts de
la prévention en matière de sécurité. La différenciation entre un «commun accord» avec
les autorités de contrôle compétentes en République fédérale d’Allemagne et une
«consultation» des autorités de contrôle compétentes dans les autres cas résulte de la
jurisprudence de la cour constitutionnelle fédérale d’après laquelle le droit de codécision
n’est pas soumis à l’obligation d’être compatible avec la constitution allemande
(«interdiction d’avoir recours à une administration mixte») à l’échelle fédérale).
Indépendamment de cela, l’exigence de consultation doit toutefois garantir la prise en
compte de l’expertise professionnelle des autres autorités de contrôle.
Même si des normes de sécurité propres à un secteur d’activité ont été établies, chaque
exploitant est autorisé à adopter ses propres mesures prenant en compte l’état de la
technique.
Le respect des exigences peut être mis en évidence par un audit de sécurité, des
contrôles ou des certifications aux termes du paragraphe 3. Cela permet de contrôler et
vérifier les mesures mises en place par les exploitants aux termes du paragraphe 1 et le
respect d’un niveau de sécurité adéquat. La loi ne doit pas prévoir précisément la
manière dont les audits de sécurité, contrôles et certifications sont organisés, car
l’élaboration des normes de sécurité propres aux différents secteurs d’activité qui ont été
remaniées le cas échéant dépend du contexte technique actuel dans les différents
secteurs, ainsi que des procédures d’audit et méthodes de certification existantes. En
règle générale, il faut vérifier que l’exploitant tient compte des recommandations faites
pour son secteur et la technologie qu’il utilise, qu’il adopte des mesures efficaces et
- 46 adaptées à son secteur et à sa technologie, qu’il a recours à une sorte de dispositif de
gestion de la sécurité informatique (groupe chargé de la sécurité, gestion des risques
informatiques, etc.), qu’il a identifié et géré ses outils informatiques critiques, qu’il prend
des mesures de prévention et d’identification des attaques cybernétiques, qu’il a
instauré un dispositif de gestion de la continuité des activités (Business Continuity
Management (BCM)) et qu’il a en outre transposé les spécificités du secteur (par
exemple la norme de sécurité propre à son secteur dans la mesure où une telle norme a
été établie et est reconnue).
Les audits de sécurité, contrôles et certifications doivent être réalisés par des
inspecteurs ou certificateurs dûment qualifiés dans ce but. Il est possible de faire appel
aux organismes de certification existants pour les certifications aux normes
internationales, européennes ou nationales. Un auditeur est considéré comme qualifié
s’il peut présenter sur demande un justificatif attestant officiellement de ses
compétences à contrôler le respect des normes de sécurité vis-à-vis du BSI. À ce
propos, il est dans une certaine mesure envisageable de rattacher des certifications à la
technicité des contrôles qui sont proposés dans les différents secteurs (par exemple à
des inspecteurs certifiés pour des normes ISO ou similaires bien définies). Il est en outre
possible de contrôler la conformité aux exigences aux termes du paragraphe 1 en ayant
recours aux procédures de contrôle établies. Actuellement, les experts-comptables
contrôlent déjà les systèmes informatiques utilisés pour la comptabilité, entre autres lors
du contrôle du bilan annuel.
En présence de vulnérabilités, le BSI peut exiger d’un commun accord avec les autorités
de contrôle compétentes en République fédérale d’Allemagne ou après consultation des
autorités de contrôle compétentes dans les autres cas que l’ensemble des conclusions
d’un audit, d’un contrôle ou d’une certification lui soit transmis et, si nécessaire, exiger
qu’il soit remédié à ces vulnérabilités. Sur ce point, le BSI comprend également
l’expertise professionnelle des autorités de contrôle compétentes dans le cadre autorisé
par la loi (voir l’exposé des motifs du paragraphe 2 y afférant).
Concernant l’article 8b (Bureau central de déclaration chargé de la sécurité
informatique des infrastructures critiques)
L’article 8b définit les déclarations devant être effectuées auprès du BSI dans le cadre
de sa fonction de bureau central chargé de la sécurité informatique des infrastructures
critiques. Les déclarations en question sont obligatoires pour détenir la capacité
- 47 d’exercer ses droits en Allemagne et constituent le fondement de certaines réponses à
l’échelle fédérale. Plus précisément:
Le paragraphe 1 indique la mission du BSI en tant que bureau central de déclaration
chargé de la sécurité informatique pour les exploitants d’infrastructures critiques.
Le paragraphe 2 définit les autres missions du BSI à ce propos. Le BSI recueille toutes
les déclarations déposées. Il les liste et actualise son rapport sur l’état de la sécurité
informatique en ayant recours à ses autres connaissances. De plus, le BSI met à la
disposition des exploitants d’infrastructures critiques, des autorités de contrôle
compétentes et des autorités de contrôle compétentes dans les autres cas en
République fédérale d’Allemagne, ainsi que des autorités de contrôle compétentes dans
les Länder ou des autorités de contrôle compétentes désignées par les Länder à cet
effet à la demande du BSI les informations qui les concernent ou les informations qui
leur sont nécessaires pour exécuter leur actuelle mission. Ces informations leur sont
fournies dans la mesure où aucune obligation de préservation des sources ou
informations secrètes ne s’y oppose et où aucun intérêt spécifique des exploitants des
infrastructures critiques n’est digne d’être protégé. Dans ce cas, les informations doivent
être transmises de manière appropriée (par exemple sous forme consolidée,
réorganisée ou comme données brutes). Les exploitants apportent leur propre
contribution en déposant des déclarations au BSI. En contrepartie, ils profitent
également des déclarations déposées au BSI par d’autres exploitants et de leur analyse
par l’intermédiaire du BSI, obtiennent une multitude d’informations et disposent de
savoir-faire.
Les exploitants sont avertis en cas de publication de leur déclaration résultant du fait
qu’elle présente un intérêt public. Là encore, l’exploitant ne doit avoir aucun intérêt
digne d’être protégé qui fait obstacle à cette publication.
En associant les exploitants d’infrastructures critiques aux mécanismes d’avertissement
et d’alerte aux termes de l’article 3, paragraphe 1, point 15, le paragraphe 3 garantit un
flux d’informations rapide en cas de perturbation significative des systèmes, composants
ou processus informatiques d’infrastructures critiques qui sont essentiels au bon
fonctionnement des infrastructures critiques exploitées et donne l’assurance que le
bureau central du BSI et les autres exploitants d’infrastructures critiques sont informés
sans délai.
- 48 -
Le paragraphe 4 définit l’obligation des exploitants d’infrastructures critiques de déclarer
immédiatement au BSI toute perturbation significative qui affecte l’accessibilité,
l’intégrité, l’authenticité et la confidentialité de leurs systèmes, composants ou processus
informatiques. Le terme «perturbation» doit être compris comme une perturbation
fonctionnelle conformément à la jurisprudence des juridictions suprêmes allemandes qui
est stipulée à l’article 100, paragraphe 1 de la loi sur les télécommunications. Une
perturbation survient au sens de la loi sur le BSI lorsque l’outil utilisé ne peut plus
remplir correctement ou intégralement la fonction pour laquelle il est prévu ou lorsqu’il a
été tenté d’agir sur ledit outil. Font plus spécifiquement partie de ces perturbations les
vulnérabilités, les logiciels malveillants et les attaques menées, tentées ou contrées qui
menacent la sécurité informatique, ainsi que les dysfonctionnements techniques
exceptionnels et inattendus d’outils informatiques (par exemple après une mise à jour
logicielle ou une défaillance du système de refroidissement du serveur).
Les perturbations doivent ensuite être déclarées si elles sont significatives. On
considère qu’il y a une perturbation à partir du moment où elle menace le bon
fonctionnement du service critique fourni. Les perturbations n’étant pas soumises à
l’obligation de déclaration sont celles qui ne peuvent pas dégrader le fonctionnement
des infrastructures critiques. Les perturbations informatiques significatives sont plus
spécifiquement celles qui ne peuvent pas être déjà automatisées ou celles qui ne
peuvent pas être repoussées à l’aide des mesures conformes à l’état de la technique
décrites à l’article 8a. C’est par exemple le cas des incidents informatiques
exceptionnels ou d’un nouveau genre, des attaques ciblées, des nouveaux modes
opératoires et des incidents inopinés. Toutefois, c’est également particulièrement le cas
pour les incidents qui peuvent uniquement être surmontés en faisant appel à des
ressources nettement plus importantes (coûts de coordination accrus, intervention
d’experts supplémentaires, recours à une organisation structurelle particulière,
assignation d’une cellule de crise). Les perturbations informatiques ne sont en revanche
pas considérées comme significatives lorsqu’il s’agit d’évènements qui surviennent
quotidiennement (spams, logiciels malveillants courants qui sont détectés par le scanner
d’un antivirus et les pannes de matériel informatique dans un cadre normal) et qu’elles
sont gérées sans problème majeur à l’aide de mesures devant être mises en œuvre en
prenant en compte l’état de la technique aux termes de l’article 8a de la loi sur le BSI.
- 49 Il est nécessaire d’effectuer les déclarations requises au BSI, même avant l’apparition
de dommages concrets, afin de pouvoir prévenir suffisamment tôt et aussi largement
que possible les exploitants d’infrastructures critiques pouvant être concernés et de
pouvoir communiquer avec fiabilité sur le niveau de sécurité informatique en Allemagne.
La déclaration doit s’effectuer progressivement afin d’informer et de prévenir rapidement
les milieux potentiellement concernés. Dans un premier temps, l’exploitant déclare aussi
rapidement que possible les informations dont ils disposent sans avoir effectué de
recherches importantes. Ensuite, il enrichit sa déclaration initiale de nouvelles
informations essentielles au fur et à mesure que l’incident est traité.
Dans les cas où la perturbation n’entraîne pas de réels dommages ou dégradations, il
n’est pas nécessaire d’indiquer nommément l’exploitant. La déclaration peut dans ce
cas être réalisée de manière anonyme. Cela permet de prendre en considération le
caractère particulièrement sensible de la déclaration compte tenu des répercussions
économiques que pourrait avoir la possible publication des incidents en question. En
conséquence, l’exploitant n’est pas nommément indiqué dans les cas où la déclaration
sert principalement à conseiller et avertir les milieux pouvant être éventuellement
concernés, ainsi qu’à dresser un état de la menace cybernétique. L’anonymisation
permet en même temps au BSI de poser des questions sur les déclarations sans que le
nom de l’exploitant apparaisse.
La mention de l’exploitant est en revanche requise pour toute perturbation significative
qui affecte l’accessibilité, l’intégrité, l’authenticité et la confidentialité de leurs systèmes,
composants ou processus informatiques et a déjà endommagé les infrastructures
critiques ou entraîné leur défaillance. Ainsi, en cas de dommage, il faut réagir
rapidement et successivement, principalement afin que des incidents similaires ne se
produisent pas auprès d’autres exploitants. Pour ce faire, le BSI doit le cas échéant
pouvoir être immédiatement en relation avec les exploitants qui déposent la déclaration
afin d’obtenir les informations nécessaires. Étant donné l’urgence de sécuriser
l’approvisionnement et la menace directe pour ce dernier, l’anonymat peut présenter un
intérêt pour les exploitants qui déposent une déclaration, dans tous les cas qui ne sont
pas pris en considération de la même manière que les cas dans lesquels aucun
dommage concret n’est encore apparu.
Le BSI établit des critères pour les incidents informatiques soumis à la déclaration et
dresse l’état du niveau actuel de la sécurité informatique en conséquence en
- 50 collaboration avec les exploitants d’infrastructures critiques et les autorités de contrôle
pour le reste chargées de prévention en matière de sécurité avec pour objectif de
préciser l’obligation de déclaration.
En complément de l’organisme de liaison stipulé au paragraphe 3, phrase 1, le
paragraphe 5 donne explicitement la possibilité aux exploitants d’infrastructures critiques
d’un même secteur de nommer un interlocuteur commun par lequel les échanges
d’informations entre l’organisme de liaison et le BSI doivent s’effectuer de manière
générale. Pour cela, les structures existantes, comme les autorités de contrôle pour le
reste chargées de la prévention en matière de sécurité ou les guichets uniques créés
dans le cadre du programme UP KRITIS, sont utilisées et élargies. Les étapes du
processus global de transmission des informations doivent être faciles à comprendre,
mais aussi à auditer.
Les informations transmises dans le cadre de l’article 8b sont généralement de nature
purement technique. À supposer que, dans des cas isolés, des données concernant des
personnes étaient tout de même fournies, le paragraphe 6 stipule clairement qu’il est
uniquement permis d’étudier des données personnelles aux fins prévues par l’article 8b
et que les seules dispositions applicables sont les dispositions générales de la loi
fédérale sur la protection des données. Pour les informations obtenues aux termes de
l’article 8b, le principe général de minimisation des données de l’article 3a de la loi
fédérale sur la protection des données s’applique par conséquent. Le système de
protection des données vient compléter ce principe par le renvoi à l’article 5,
paragraphe 7, phrases 3 à 8 de la loi sur le BSI.
Concernant l’article 8c (Domaine d’application)
L’application des articles 8a et 8b de la loi sur le BSI dépend de l’organisation de
l’exploitant d’infrastructures critiques. Ainsi, même les installations de la République
fédérale d’Allemagne qui ne sont pas des dispositifs informatiques au sens de l’article 2,
paragraphe 3 de la loi sur le BSI relèvent du domaine d’application de la présente loi.
Après le paragraphe 1, les articles 8a et 8b de la loi sur le BSI ne trouvent néanmoins
pas d’application du point de vue du principe de proportionnalité pour les entreprises qui
sont
considérées
comme
des
micro-entreprises
aux
termes
de
la
recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition
- 51 des micros, petites et moyennes entreprises (Journal officiel L 124 du 20.05.2003,
p. 36). Conformément à cette recommandation, les micro-entreprises sont les
entreprises qui emploient 10 personnes ou moins et dont le chiffre d’affaires ou le bilan
annuel ne dépasse pas 2 millions d’euros. Il existe également des exceptions pour les
entreprises au sens de l’article 3, paragraphe 4 de la recommandation, c’est-à-dire pour
les entreprises qui sont des micro-entreprises au sens de la recommandation, mais qui
ont été exclues de cette catégorie, car 25 % ou plus de leur capital ou de leur droit de
vote sont détenus directement ou indirectement par un ou plusieurs organismes publics
ou de droit public, soit séparément, soit conjointement. L’exploitant de l’infrastructure
critique concernée doit réunir lui-même les conditions imposées et en fournir la preuve
au BSI sur sa demande de manière appropriée. Pour ce faire, l’entreprise peut par
exemple présenter une déclaration qu’elle a elle-même rédigée et qui comporte les
preuves attendues. Les mesures organisationnelles de l’exploitant qui permettent la
décentralisation (partielle) de la responsabilité des différents secteurs d’activité des
infrastructures critiques n’ont pas d’effet sur la responsabilité de l’exploitant pour
l’infrastructure critique et sur les obligations qui l’accompagne.
Le paragraphe 2 exclut certains exploitants d’infrastructures critiques qui exploitent un
réseau de télécommunications public ou qui fournissent des services de
télécommunications publics (point 1) du domaine d’application de l’article 8a de la loi sur
le BSI. Cela résulte du fait qu’avec l’article 109 de la loi sur les télécommunications
(nouvelle version), ces exploitants relèvent déjà du domaine d’application d’une
disposition équivalente à celle de l’article 8a de la loi sur le BSI. Il en est de même pour
les exploitants de réseaux d’approvisionnement en énergie et de dispositifs de
production d’énergie au sens de la loi relative à la sauvegarde de l’approvisionnement
en énergie (point 2). La loi sur l’utilisation de l’énergie nucléaire contient également une
disposition similaire, ainsi que les décrets sur lesquels elles reposent et les dispositions
d’un niveau juridique inférieur qui visent les titulaires d’un agrément aux termes de
l’article 7, paragraphe 1 de la loi sur l’utilisation de l’énergie nucléaire, qui traite de la
sécurité nucléaire (point 3). Dans le cas présent, il existe également des dispositions
équivalentes relatives à la sécurité nucléaire. Elles se basent sur les conditions d’octroi
d’un agrément aux termes de l’article 7, paragraphe 2, point 5 de la loi sur l’utilisation de
l’énergie nucléaire en lien avec les décrets d’application et avec le dispositif de
surveillance prévu par l’article 19 de la loi sur l’utilisation de l’énergie nucléaire. En cas
de conflit entre les objectifs de sécurité nucléaire et la sécurité des installations
techniques d’une part et la sécurité des réseaux et services d’approvisionnement d’autre
- 52 part, il faut examiner en priorité la sécurité nucléaire des installations techniques d’une
centrale.
Le point 4 fixe un ordre de priorité général pour les différentes exigences spécifiques et
se penche ainsi plus particulièrement sur les cas qui relèvent de dispositions
comparables ou subsidiaires à celles de l’article 8a de la loi sur le BSI suite à l’entrée en
vigueur de la loi dans d’autres domaines d’application. Ainsi, à l’avenir, les dispositions
applicables aux équipements télématiques dans le secteur de la santé seront les
dispositions comparables à celles de l’article 8a de la loi sur le BSI.
Le paragraphe 3 exclut certains exploitants d’infrastructures critiques qui exploitent un
réseau de télécommunications public ou qui fournissent des services de
télécommunications publics (point 1) du domaine d’application des paragraphes 3 à 5 de
l’article 8b de la loi sur le BSI. Cela résulte du fait qu’avec l’article 109, paragraphe 5 de
la loi sur les télécommunications (nouvelle version), ces exploitants relèvent du domaine
d’application d’une disposition équivalente à celle de l’article 8b, paragraphes 3 à 5 de la
loi sur le BSI. Il en est de même pour les exploitants de réseaux d’approvisionnement en
énergie et de dispositifs de production d’énergie au sens de la loi relative à la
sauvegarde de l’approvisionnement en énergie (point 2). Les titulaires d’un agrément
aux termes de l’article 7, paragraphe 1 de la loi sur l’utilisation de l’énergie nucléaire
sont également soumis à une obligation légale spécifique en matière de déclaration aux
termes de l’article 44b de la loi sur l’utilisation de l’énergie nucléaire. Ils doivent donc
également en être exclus (point 3).
Le point 4 fixe un ordre de priorité général pour les différentes exigences spécifiques et
se penche ainsi plus particulièrement sur les cas qui relèvent de dispositions
comparables ou subsidiaires à celles de l’article 8b de la loi sur le BSI suite à l’entrée en
vigueur de la loi dans d’autres domaines d’application. Ainsi, à l’avenir, les dispositions
applicables aux équipements télématiques dans le secteur de la santé seront les
dispositions comparables à celles de l’article 8b de la loi sur le BSI.
Concernant l’article 8d (Demande de renseignements)
- 53 L’article 8d définit une disposition spécifique au sens de l’article premier, paragraphe 3
de la loi sur la liberté d’information. Cette disposition spécifique prévoit limitativement
l’accès de personnes n’étant pas impliquées dans la procédure de déclaration ou
d’institutions non publiques (tiers) à des informations qui ont été envoyées au BSI aux
termes de l’article 8a, paragraphes 2 et 3, ainsi qu’à des déclarations aux termes de
l’article 8b, paragraphe 4 de la loi sur le BSI en prenant en considération l’intérêt
particulier des exploitants d’infrastructures critiques qui sont soumis à l’obligation de
déclaration à ce que les informations qu’ils fournissent soient traitées avec
confidentialité, ainsi que leurs principaux intérêts en matière de sécurité. Par
conséquent, l’accès à ces informations et déclarations peut uniquement être autorisé si
l’on peut présumer que les exploitants d’infrastructures critiques concernés n’ont aucun
intérêt digne d’être protégé qui pourrait l’empêcher ou si l’on est à supposer que cet
accès ne portera pas atteinte aux principaux intérêts en matière de sécurité. Cela est
particulièrement valable pour les cas stipulés à l’article 8a, paragraphe 3 et à l’article 8b,
paragraphe 4, phrase 3 de la loi sur le BSI. D’autres situations sont toutefois également
envisageables pour les cas de l’article 8b, paragraphe 4, phrase 1 de la loi sur le BSI
pour lesquels autoriser l’accès à des informations et déclarations peut considérablement
nuire aux intérêts économiques dignes d’être protégés dans l’intégralité d’un secteur ou
pour des exploitants isolés. Cela peut par exemple être le cas s’il est possible ou s’il
semble presque possible d’associer correctement des informations et déclarations à un
exploitant sans que celui-ci soit même nommé. De manière générale, l’accès à des
données personnelles est interdit. Concernant la transmission d’informations à des
exploitants d’infrastructures critiques de la même manière qu’aux personnes impliquées
dans la procédure de déclaration, les dispositions applicables sont celles de l’article 8b,
paragraphe 2, point 4 de la loi sur le BSI.
Cette disposition spéciale est nécessaire du fait que les dispositions dérogatoires des
articles 3 et suivants de la loi sur la liberté d’information ne prennent pas suffisamment
en compte les intérêts spécifiques que présente une procédure de déclaration pour les
exploitants d’infrastructures critiques. Ainsi, pour qu’une telle procédure de déclaration
fonctionne correctement, il faut protéger les informations transmises qui sont hautement
sensibles et d’une importance décisive. Il faut en priorité satisfaire les intérêts d’ordre
public et protéger efficacement l’accessibilité des infrastructures critiques, car elles sont
d’une importance capitale pour le fonctionnement de la communauté nationale et tout
incident ou atteinte à ces infrastructures entraînerait des difficultés d’approvisionnement
considérables ou représenteraient une menace pour la sécurité publique. De plus, il fait
- 54 également prendre en considération le caractère particulièrement sensible des
informations échangées dans le cadre défini à l’article 8b de la loi sur le BSI tant pour
les exploitants d’infrastructures critiques qui sont soumis à l’obligation de déclaration
que pour la société. Il est également possible que des intérêts essentiels constituent un
obstacle à la transmission d’informations en admettant que leur publication ébranlerait la
confiance des exploitants d’infrastructures critiques en la confidentialité de la procédure
de déclaration et menacerait donc ainsi l’efficacité de la procédure dans son ensemble.
L’accès aux dossiers du BSI est exclusivement autorisé aux personnes impliquées dans
la procédure de déclaration aux termes du paragraphe 2 et pour les affaires décrites aux
articles 8a et 8b de la loi sur le BSI. Les informations recueillies et analysées par le BSI
dans le cadre de sa mission (plus ou moins dans le cadre de l’établissement du rapport
faisant état de la sécurité informatique) sont des informations hautement sensibles et
critiques en matière de sécurité qui doivent faire l’objet d’une protection particulièrement
accrue. La haute sensibilité de ces informations du point de vue de la sécurité et les
risques potentiels qu’elles présentent exclut de prime abord que des personnes ou
organismes y aient accès. Les personnes impliquées dans la procédure de déclaration
peuvent consulter les dossiers conformément à l’article 29 de la loi fédérale sur la
procédure administrative.
Concernant le point 8 (Article 10 – Habilitation à promulguer des décrets)
Concernant la lettre a (Critères de définition des infrastructures critiques)
L’article 10, paragraphe 1 autorise le ministère allemand de l’intérieur à fixer les critères
de définition des structures, dispositifs ou parties de dispositifs qui seront classés
comme infrastructures critiques au sens de la loi sur le BSI en précisant que les
infrastructures critiques seront systématiquement définies aux termes de l’article 2,
paragraphe 10 de la loi sur le BSI (après consultation de représentants du corps
scientifique, des exploitants concernés et des syndicats professionnels concernés en
accord avec les ministères allemands susmentionnés).
Les structures, installations ou parties d’installations devant être classées comme
infrastructures critiques doivent être désignées de manière théorique dans le décret ou
les annexes du décret. Il est prévu de préciser méthodiquement leur classement en
fonction de critères qualitatifs et quantitatifs. La classification des infrastructures
critiques concernées consiste à déterminer dans un premier temps si une infrastructure
fournit des services critiques pour la société grâce aux structures, installations et parties
- 55 d’installations concernées (critère qualitatif) et dans un second temps si un incident ou
une atteinte aurait d’importantes répercussions sur les biens protégés et sur le
fonctionnement de la communauté nationale (critère quantitatif).
On englobe plus précisément dans la catégorie qualitative les services qui sont critiques
au sens propre dans les secteurs stipulés, qui revêtent une haute importance pour le
fonctionnement de la communauté nationale et dont toute atteinte ou défaillance
entraînerait des difficultés d’approvisionnement considérables durables ou
représenteraient une menace pour la sécurité publique. En l’occurrence, les critères
qualitatifs se rapportent principalement à la sécurité des personnes et à la protection de
la santé et de la propriété des parties de la population auxquelles tout incident porterait
atteinte directement ou indirectement. Ils permettent de vérifier si une partie bien
déterminée d’un secteur est vraiment critique. Les critères qualitatifs doivent être
précisés à l’aide d’un exposé théorique des prestations vraiment critiques qui sont
nécessaires à la préservation des valeurs précitées.
En tout cas, de telles prestations critiques peuvent être celles listées ci-après.
1. SECTEUR DE L’ÉNERGIE

Alimentation électrique (branche: électricité)

Approvisionnement en gaz naturel (branche: gaz)

Approvisionnement en huile minérale (branche: huile minérale)
2. SECTEUR DE L’INFORMATIQUE ET DES TÉLÉCOMMUNICATIONS

communication téléphonique et transmission de données (branches:
télécommunications et informatique)

Traitement et sauvegarde de données (branche: informatique)
3. SECTEUR DU TRANSPORT ET DE LA CIRCULATION

Transport de marchandises (branches: transport aérien, navigation maritime,
navigation intérieure, transport par rail, circulation routière et logistique)

Transport de personnes à proximité (branches: navigation maritime,
navigation intérieure, transport par rail, circulation routière et logistique)
- 56 
Transport de personnes à longue distance (branches: transport aérien,
navigation maritime, navigation intérieure, transport par rail, circulation
routière et logistique)
4. SECTEUR DE LA SANTÉ

Services médicaux (branches: services médicaux, laboratoires)

Fourniture de médicaments et de dispositifs médicaux (branches: services
médicaux, laboratoires, médicaments et vaccins)
5. SECTEUR DE L’EAU

Approvisionnement en eau potable (branche: approvisionnement public en
eau potable)

Assainissement des eaux usées (branche: assainissement public des eaux
usées)
6. SECTEUR DE L’ALIMENTATION

Approvisionnement en nourriture (branches: secteur alimentaire, commerce
de produits alimentaires)
7. SECTEUR DE LA FINANCE ET DES ASSURANCES

Opérations financières, services de paiement par virement, cartes de
paiement et monnaie électronique (branches: banques, prestataires de
services financiers)

Approvisionnement en espèces (branche: banques)

Octroi de crédits (branches: banques, prestataires de services financiers)

Achat et vente de devises (branches: bourses, banques, prestataires de
services de paiement)

Achat et vente de titres et de produits dérivés (branche: bourses, banques,
prestataires de services de paiement)

Prestations d’assurances (branche: assurances)
En supposant qu’une telle répartition soit définitivement établie dans le décret, les
critères quantitatifs doivent inclure le niveau d’approvisionnement des différentes
structures, installations et parties d’installations. À ce propos, il faut étudier si, pour une
prestation critique, un incident ou une atteinte des différentes structures, installations et
- 57 parties d’installations a des répercussions importantes directes ou indirectes sur
l’approvisionnement d’un nombre de personnes proportionnellement important (seuil),
c’est-à-dire si de tels évènements auraient des répercussions fortement négatives d’un
point de vue économique global. Pour remplir parfaitement ce critère, il faut établir des
seuils aussi spécifiques que possible en tenant compte de l’administration, de
l’économie et des sciences et les insérer dans le décret. Chaque seuil déterminant peut
toutefois varier en fonction du secteur, de la branche ou de la prestation.
Les destinataires potentiels de ces critères peuvent être fixés par décret. Pour ce faire, il
faut prendre en considération s’ils fournissent des services critiques à l’aide d’une
structure, installation ou partie d’installation en dépassant le seuil correspondant ou s’ils
se situent en dessous de ce seuil et des obligations définies aux articles 8a et 8b de la
loi sur le BSI.
Concernant les lettres b et c (Obligation d’approbation)
Les lettres c et d traitent des clarifications sémantiques existantes dans les habilitations
à légiférer par décret qui sont stipulées dans la loi sur le BSI.
Concernant le point 9 (Article 13 – Obligation d’information)
L’obligation d’information fixée au paragraphe 1 garantit que le ministère allemand de
l’intérieur, qui est l’autorité de contrôle compétente pour le BSI, sera informé de ses
activités courantes. Les informations importantes peuvent entre autres également être
fournies lors des réunions du Conseil allemand de sécurité cybernétique qui sont
régulièrement organisées.
La fixation légale d’une obligation d’information et la publication d’un rapport annuel
prévue aux termes du paragraphe 2 permettent de sensibiliser le public au thème de la
sécurité informatique. Le rapport complète la mise à disposition d’informations
techniques existantes par le BSI et permet au gouvernement fédéral de contribuer au
débat dans un cadre politique. Étant donné la multitude d’attaques cybernétiques qui
pourraient déjà être repoussées à l’aide de mesures élémentaires, l’information et la
sensibilisation du public jouent un rôle central dans l’amélioration de la sécurité
informatique en Allemagne.
Concernant l’article 2 (Amendement de la loi sur l’utilisation de l’énergie
nucléaire)
- 58 La disposition de l’article 44b oblige tous les titulaires d’un agrément à déclarer
immédiatement, aux termes des articles 6, 7 et 9 de la loi sur l’utilisation de l’énergie
nucléaire, au bureau central de déclaration chargé de la question de la sécurité des
systèmes, composants ou processus informatiques aux termes de l’article 8b,
paragraphe 1 de la loi sur le BSI, c’est-à-dire au BSI, des perturbations affectant leurs
systèmes, composants ou processus informatiques et pouvant menacer ou troubler la
sécurité nucléaire ou l’ayant déjà mise en danger ou troublée.
Les missions et pouvoirs conférés au BSI aux termes de l’article 8b, paragraphe 2 de la
loi sur le BSI sont également valables pour les déclarations des titulaires d’agréments
définis par les articles 6, 7 et 9 de la loi sur l’utilisation de l’énergie nucléaire.
L’Office fédéral transmet immédiatement les déclarations reçues par le BSI aux autorités
de contrôle et de délivrance des agréments compétentes en matière de sécurité
nucléaire dans les Länder, ainsi qu’au ministre allemand chargé de la sécurité nucléaire
et de la protection contre les radiations. Dans ce cas, l’article 8, paragraphes1, 2 et 6 de
la loi sur le BSI s’applique mutatis mutandis.
Concernant l’article 3 (Amendement de la loi relative à la sauvegarde de
l’approvisionnement en énergie)
Concernant le point 1 (Article 11 – Exploitation de réseaux d’approvisionnement
en énergie)
Concernant la lettre a (Clarifications sémantiques et autres clarifications)
Les amendements du paragraphe 1a ont pour objectif de corriger les imprécisions
rencontrées dans la pratique et de préciser le niveau de protection.
Concernant la lettre double aa (Protection des systèmes de télécommunications
et des systèmes informatiques)
Dans le passé, l’expression «qui permettent de gérer le réseau» située dans la phrase 1
a donné lieu à des débats sur l’étendue de l’obligation. L’expression désormais retenue
indique clairement que les systèmes de communication et les systèmes informatiques
de l’exploitant du réseau doivent être protégés de manière à garantir l’exploitation
certaine du réseau.
Concernant la lettre double bb (Manuel de sécurité)
- 59 L’article 11, paragraphe 1a a été supprimé de la loi relative à la sauvegarde de
l’approvisionnement en énergie (loi EnWG) lors de son amendement. L’Agence fédérale
des réseaux a élaboré un premier projet de manuel de sécurité qui fait à cette heure
l’objet de discussions avec le secteur d’activité. Le manuel de sécurité présenté contient
des dispositions relatives à la certification et aux contrôles réguliers des mesures de
protection mises en œuvre dans les entreprises. La phrase 3 désormais enrichie oblige
l’autorité de régulation à exiger des contrôles de la part des exploitants. L’amendement
tient compte du niveau de protection fixée à l’article 8a, paragraphe 3 de la loi sur le BSI
et empêche le manuel de sécurité de l’Agence fédérale des réseaux de retourner en
dessous de ce niveau de protection. Cela n’a aucune incidence pratique sur le manuel
de sécurité présenté, car il impose déjà des exigences similaires.
Concernant la lettre double cc (Portée du manuel de sécurité)
Jusqu’à présent, il est supposé que les systèmes de télécommunications et les
systèmes informatiques sont protégés de manière satisfaisante si les exploitants du
réseau répondent aux exigences du manuel de sécurité. Dès lors qu’un exploitant peut
prouver que les mesures qu’il met en œuvre garantissent une protection également
adaptée, il peut alors s’écarter du manuel de sécurité. L’expression «existe» permet de
donner une force encore supérieure aux exigences du manuel de sécurité. Il est par
conséquent considéré que les systèmes de télécommunications et les systèmes
informatiques sont protégés de manière satisfaisante uniquement si les exigences du
manuel de sécurité sont respectées. Ainsi, il n’existe en principe plus de marge de
manœuvre pour les exploitants qui souhaiteraient adopter d’autres mesures de
protection adaptées de leur point de vue. Le manuel de sécurité de l’Agence fédérale
des réseaux est considéré comme une norme minimale que les exploitants doivent
respecter.
Concernant la lettre double dd (Concentration sur l’aspect technique)
Jusqu’à présent, la compétence de fixation de l’aspect technique n’a pas été exercée.
Au contraire, le contenu et le domaine d’application du manuel de sécurité se sont plutôt
élargis. Il convient de se concentrer sur l’ensemble du mode opératoire utilisé de l’étape
d’élaboration du manuel de sécurité à celle du contrôle de son respect au sein du
service technique.
Concernant la lettre b (Manuel de sécurité et déclaration obligatoire)
- 60 Le paragraphe 1b introduit une nouvelle disposition destinée aux exploitants de
dispositifs de production d’énergie qui sont considérés comme des infrastructures
critiques. Il est nécessaire d’introduire des normes de protection pour les dispositifs de
production d’énergie qui sont considérés comme des infrastructures critiques dans le
décret promulgué aux termes de l’article 10, paragraphe 1 de la loi sur le BSI, afin de
pouvoir protéger le réseau de manière étendue et garantir ainsi son bon
fonctionnement. Les dispositifs de production d’énergie qui sont raccordés au réseau
public d’alimentation électrique ont pour obligation de mettre également en œuvre des
mesures de sécurité là où une menace pourrait peser sur l’exploitation du réseau. Il est
nécessaire et judicieux d’établir les normes de sécurité applicables aux exploitants du
réseau et aux dispositifs de production d’énergie sur la base de leur ressemblance
technique. C’est la raison pour laquelle l’Agence fédérale des réseaux est l’autorité
compétente pour l’élaboration des normes de sécurité portant sur l’exploitation du
réseau et des normes de sécurité applicables aux dispositifs de production d’énergie,
ainsi que pour les contrôles visant à s’assurer du respect de ces normes. Sur ce point,
le paragraphe 1b respecte le paragraphe 1a. En outre, il précise que les exigences
basées sur la loi sur l’utilisation de l’énergie nucléaire sont prioritaires pour les systèmes
de télécommunications et les systèmes informatiques des dispositifs stipulés à
l’article 7, paragraphe 1 de la loi sur l’utilisation de l’énergie nucléaire.
Le paragraphe 1 introduit une obligation d’informer le BSI pour les exploitants de
structures, installations ou parties d’installations qui ont été classées comme
infrastructures critiques aux termes de l’article 10, paragraphe 1 de la loi sur le BSI.
Conformément à l’article 8b, paragraphe 1 de la loi sur le BSI, le BSI est le bureau
central de déclaration pour les exploitants d’infrastructures critiques pour toutes les
affaires ayant trait à la sécurité des systèmes, composants ou processus informatiques.
La création de ce bureau central est judicieuse pour relier au mieux connaissances et
expériences. Afin que les problèmes de sécurité rencontrés dans le secteur de l’énergie
puissent également relever de ce «centre de compétences», le paragraphe 1c prévoit
que le BSI soit immédiatement informé de toute perturbation significative affectant
l’accessibilité, l’intégrité, l’authenticité et la confidentialité de leurs systèmes,
composants ou processus informatiques et pouvant affaiblir ou dégrader le
fonctionnement des réseaux d’approvisionnement en énergie ou des dispositifs de
production d’énergie concernés ou les ayant déjà affaiblis ou dégradés. Les exigences
relatives au contenu de la déclaration correspondent à celles fixées par l’obligation
générale de déclaration imposée aux exploitants d’infrastructures critiques aux termes
- 61 de l’article 8b, paragraphe 4, phrase 2 de la loi sur le BSI. Il est nécessaire d’effectuer
les déclarations requises au BSI, même avant l’apparition de dommages concrets, afin
de pouvoir prévenir suffisamment tôt et aussi largement que possible les exploitants
d’infrastructures critiques pouvant être concernés et de pouvoir communiquer avec
fiabilité sur le niveau de sécurité informatique en Allemagne. À l’inverse, aux termes de
l’article 8b, paragraphe 2, point 4 de la loi sur le BSI, le BSI s’engage à également
informer les exploitants de réseaux et de dispositifs de production d’énergie sur les
incidents survenant au sens des paragraphes 1a et 1b. L’intérêt spécifique que présente
le traitement confidentiel des informations fournies pour les personnes soumises à la
déclaration obligatoire est pris en considération. Les informations hautement sensibles
et critiques en matière de sécurité doivent faire l’objet d’une protection spécifique.
Concernant les points 2 à 4 (Amendement des dispositions transitoires)
Les dispositions transitoires de l’article 21e, paragraphe 5 et de l’article 21f,
paragraphe 2, doivent servir de transition vers le système de mesure intelligent
conforme au BSI. Certes, depuis l’amendement de la loi EnWG, les programmes de
protection et les directives techniques du BSI se sont rapidement enrichis. Toutefois, les
systèmes de mesure certifiés ne seront probablement pas encore disponibles sur le
marché au début de 2015 comme exigé à l’article 21e, paragraphe 4 de la loi relative à
la sauvegarde de l’approvisionnement en énergie. Néanmoins, les systèmes de mesure
doivent avant tout déjà pouvoir être utilisés et testés dans des projets pilotes qui
appliquent une norme technique certes stricte, mais pas encore certifiée par le BSI. Les
projets pilotes sont d’une importance capitale pour l’interaction future de tous les acteurs
du réseau électrique intelligent. Cela requiert la prorogation des dispositions transitoires
existantes et permet en fin de compte à la transition de s’effectuer sans problème d’un
point de vue technique.
La nouvelle version permet en outre de souligner avec force que les décrets promulgués
aux termes de l’article 21i, paragraphe 1, point 11 de la loi relative à la sauvegarde de
l’approvisionnement en énergie peuvent fixer ou modifier la date déterminante à laquelle
l’emploi des systèmes de mesure intelligents non conformes au BSI sera interdit. Cette
flexibilité est nécessaire afin de pouvoir réagir aux différents degrés d’évolution des
diverses solutions techniques modulaires (module de commande des appareils
récepteurs pouvant être déconnectés ou module de commande des installations ayant
recours aux énergies renouvelables, par exemple) comme des expériences réalisées
dans le cadre de projets pilotes. Elle est également essentielle pour créer une harmonie
- 62 entre les obligations d’installation qui peuvent être imposées aux termes de l’article 21i,
paragraphe1, point 8 de la loi relative à la sauvegarde de l’approvisionnement en
énergie.
Concernant le point 5 (Article 59, paragraphe 1 – Organisation)
Il s’agit d’une modification résultant des amendements de l’article 11, paragraphe 1a de
la loi relative à la sauvegarde de l’approvisionnement en énergie. La modification permet
de clarifier que le service compétent de l’Agence fédérale des réseaux est celui qui se
concentre sur l’élaboration et le contrôle du manuel de sécurité aux termes de
l’article 11, paragraphes 1a et 1b.
Concernant l’article 4 (Amendement de la loi sur les services télématiques)
Concernant le point 1 (Article 13 – Obligations des prestataires de services)
Concernant la lettre a (Protection des systèmes de télécommunications et des
systèmes informatiques selon l’état de la technique)
En raison de la propagation croissante de logiciels malveillants par le biais de services
télématiques, les obligations existantes pour les prestataires de services de
télématiques qui proposent leurs services télématiques à titre professionnel sont
complétées par des mesures techniques et organisationnelles visant à garantir une
protection contre tout accès non autorisé et contre toute perturbation, ainsi qu’à protéger
les données personnelles.
Une offre est considérée comme proposée à titre professionnel dans les cas où elle
repose sur une activité durable et s’inscrit donc dans le cadre d’une activité permanente
et régulière. Il en est de même pour tout service proposé gratuitement dans un cadre
normal, par exemple pour les sites Internet financés par de la publicité. Par contre, les
offres non commerciales des services télématiques par l’intermédiaire d’associations
privées ou d’associations à but non lucratif ne sont cependant pas considérées de la
sorte.
Dans le cadre de leurs responsabilités respectives, les prestataires de services
concernés doivent s’assurer, par le biais de mesures préventives techniques et
organisationnelles qui prennent en compte l’état de la technique qu’aucun accès non
autorisé aux dispositifs techniques utilisés n’est possible pour leurs offres de services
- 63 télématiques et que ces dispositifs sont protégés contre toute violation de données
personnelles et contre toute perturbation. Il convient pour cela que les mesures
préventives en question soient possibles techniquement et supportables financièrement
pour le prestataire de service concerné. Ce principe de tolérance permet au prestataire
de services de mettre uniquement en œuvre des mesures préventives dont les coûts
sont valablement proportionnels par rapport à l’objectif de protection visé. Il permet
également de s’adapter aux exigences avec flexibilité et au cas par cas.
Cette disposition vise essentiellement à refréner l’une des voies de propagation des
logiciels malveillants, c’est-à-dire le téléchargement inaperçu effectué en recherchant ou
en utilisant simplement un site Internet préparé par un pirate en vue d’un piratage
(Drive-by-Downloads). Un grand nombre de ces attaques peut être évité dans la mesure
où l’exploitant du site Internet actualise régulièrement les logiciels utilisés dans le cadre
de l’offre de services télématiques (installer de patchs de sécurité). Les piratages
peuvent également avoir lieu par l’intermédiaire de contenus sur lesquels le prestataire
de services ne peut exercer aucune influence directe d’un point de vue technique (par
exemple, des bannières publicitaires piratées et intégrées au site Internet). En revanche,
il faut mettre en place des mesures préventives organisationnelles. Pour ce faire, les
prestataires de services publicitaires qui gèrent l’espace publicitaire peuvent par
exemple s’engager contractuellement à avoir recours à toute mesure de protection
nécessaire. Les mesures en question doivent être adoptées dans le cadre des
responsabilités du prestataire.
Les mesures préventives décrites à la phrase 1 peuvent notamment se concrétiser par
l’utilisation d’une technique de cryptage reconnue comme sûre et, en cas de services
télématiques sur mesure, par l’offre d’un système d’authentification sûr et adapté à la
protection requise. Le niveau de protection requis peut différer en fonction de la
sensibilité et du volume des données traitées. Le système d’authentification retenu est
conforme aux directives techniques en vigueur publiées par le BSI. Il doit être considéré
suffisamment sûr et respecter l’état de la technique. On prêtera particulièrement
attention à l’accessibilité du système.
Concernant la lettre b (Amendement consécutif)
La lettre b contient un amendement consécutif nécessaire.
Concernant le point 2 (Article 16 – Amendes)
- 64 Si le prestataire de services viole une obligation définie à l’article 13, paragraphe 7,
phrase 1, point 1 ou point 2, lettre a de la loi sur les services télématiques afin de mettre
en œuvre des mesures préventives techniques et organisationnelles qui permettront
d’assurer la sécurité informatique des contenus proposés à des tiers dans les
dispositions sur les amendes définies à l’article 16, paragraphe 2, point 3, l’amende
infligée correspond à l’amende applicable pour toute violation des autres obligations
imposées au prestataire de services à l’article 13, paragraphe 4. Une amende est
également infligée si le prestataire de services a recours à des mesures techniques et
organisationnelles qui ne prennent pas en compte l’état de la technique.
Concernant l’article 5 (Amendement de la loi sur les télécommunications)
Concernant point 1 (Modification du sommaire)
Le point 1 contient un amendement consécutif nécessaire.
Concernant le point 2 (Article 100, paragraphe 1 – Perturbation des systèmes de
télécommunications et emploi abusif des services de télécommunications)
L’amendement permet de clarifier le fait qu’un prestataire de services peut également
utiliser des données d’inventaire et les données relatives au trafic des participants pour
identifier et éliminer des perturbations qui peuvent avoir pour répercussion de limiter
l’accessibilité aux services informatiques ou aux services de communication ou de
permettre un accès illicite aux systèmes informatiques et aux systèmes de
télécommunications des utilisateurs. À ce propos, il est par exemple possible d’utiliser
des serveurs pièges (en présence de logiciels malveillants sur le réseau) ou des
«spam traps» (qui empêchent l’envoi de logiciels malveillants) pour contrôler le trafic sur
le réseau.
Concernant le point 3 (Article 109 – Mesures techniques de protection)
Concernant la lettre a (Considération de l’état de la technique)
Conformément à la situation juridique en vigueur, les prescriptions légales applicables
aux mesures techniques de protection imposent des exigences strictes uniquement aux
mesures mises en œuvre afin de protéger la confidentialité (confidentialité des
télécommunications) et les données personnelles. Ces mesures doivent prendre en
compte l’état de la technique. Par ailleurs, il est exigé d’avoir uniquement recours à des
mesures préventives et dispositions techniques adaptées pour assurer la sécurité
- 65 informatique. L’adéquation de ces différentes mesures est toutefois incertaine et peut
donc principalement dépendre de la perspective économique généralement retenue.
Il faut également adopter des mesures qui prennent en compte l’état de la technique
pour protéger les utilisateurs contre tout accès illicite aux systèmes informatiques et aux
systèmes de télécommunications en raison de l’importance significative que cela
représente pour la communication des utilisateurs. Les attaques affectent de plus en
plus les systèmes à un niveau extrêmement complexe techniquement. Elles utilisent les
failles encore inconnues du public que l’on trouve dans l’architecture de sécurité des
équipements informatiques et logiciels. Ces attaques menacent l’accessibilité, l’intégrité,
la confidentialité, et l’authenticité des systèmes informatiques. L’amendement impose
des exigences minimales adaptées afin d’empêcher tout accès illicite aux systèmes
informatiques, ainsi que toute répercussion des atteintes à la sécurité. Ces exigences
s’appliquent aux exploitants de réseaux de télécommunications publics et aux
prestataires de services de télécommunications publics.
Concernant la lettre b (Contrôle des dispositifs de sécurité)
La disposition établie à la phrase 7 préexistante, qui décrit que l’Agence fédérale des
réseaux peut effectuer des contrôles afin de vérifier que les dispositifs de sécurité sont
mis en place, est remplacée par une obligation de contrôler régulièrement la mise en
place des dispositifs de sécurité, c’est-à-dire au moins tous les deux ans. Cette
disposition doit permettre de prendre en compte l’état de la technique à tout moment
pour les mesures techniques et organisationnelles. De plus, cela permet de prendre en
considération les menaces croissantes qui, avec la fourniture de services, peuvent
entraîner la création d’un lien avec des attaques touchant la confidentialité, l’intégrité et
l’accessibilité des communications transmises. Lors d’un contrôle, l’Agence fédérale des
réseaux peut avoir recours aux moyens décrits à l’article 115, paragraphes 2 et 1 de la
loi sur les télécommunications et sanctionner les éventuelles violations de la loi aux
termes de l’article 115, paragraphe 3 de la loi sur les télécommunications.
Concernant la lettre c (Obligation de déclaration)
En plus des déclarations qu’il faut actuellement déposer à l’Agence fédérale des
réseaux aux termes de l’article 109, paragraphe 5 de la loi sur les télécommunications, il
est désormais obligatoire de déclarer tout incident devenu manifeste qui peut porter une
atteinte grave à la sécurité des systèmes informatiques d’utilisateurs finaux (point 2).
- 66 Ainsi, les actuelles déclarations obligatoires en matière de protection des données et en
cas d’atteinte grave des services de télécommunications fondamentaux garantissent
également que les entreprises, qui forment la colonne vertébrale de notre société
informatisée, contribuent également à l’établissement d’un rapport valide et complet sur
l’état de la sécurité informatique. L’objectif est d’améliorer le rapport sur l’état de la
sécurité informatique dès en amont. Les atteintes à la sécurité informatique (par
exemple les manipulations de l’infrastructure Internet et l’emploi abusif de serveurs ou
de connexions, notamment pour créer ou exploiter un réseau de zombies) représentent
un danger potentiel important qui, à ce stade, ne vise toutefois pas encore l’accessibilité
générale des réseaux, mais le fonctionnement et la fiabilité des réseaux informatiques
de différents utilisateurs isolés. Ils s’ensuivent le cas échéant de graves conséquences
ultérieures.
La loi sur les télécommunications prévoit donc l’obligation de déposer une déclaration
auprès de l’Agence fédérale des réseaux uniquement dans la mesure où des
perturbations sont réellement survenues et où ces piratages ont de graves
répercussions sur le fonctionnement du réseau de télécommunications ou sur la
fourniture des services de télécommunications.
L’Agence fédérale des réseaux doit immédiatement transmettre les déclarations qu’elle
reçoit au BSI, ainsi que les informations relatives aux actions correctives mises en place
par l’entreprise concernée. Ainsi, le BSI est en mesure d’accomplir sa mission aux
termes de l’article 8b, paragraphe 2 de la loi sur le BSI.
Concernant la lettre d (Élaboration d’un manuel de sécurité)
L’utilisation croissante de l’informatique dans le cadre des télécommunications nécessite
également le renforcement normatif des questions de sécurité informatique afin
d’élaborer le manuel de sécurité aux termes du paragraphe 6. L’implication renforcée du
BSI résultant de sa compétence spécifique (décisions prises d’un «commun accord» et
non plus après «consultation») prend en compte cette nécessité. Par ailleurs, la
protection des données et la liberté d’information sont adaptées en conséquence pour
les commissaires fédéraux.
Concernant la lettre e (Transmission des conclusions des audits au BSI)
L’Agence fédérale des réseaux doit immédiatement informer le BSI de toute nonconformité découverte dans le cadre d’audits réalisés afin de contrôler le respect des
- 67 exigences imposées en matière de sécurité informatique. Elle doit également l’aviser
des actions correctives qu’elle a exigées à ce propos.
Concernant le point 4 (Article 109a – Sécurité des données et sécurité
informatique)
Concernant la lettre a (Modification du titre)
La lettre a contient une modification consécutive rédactionnelle et prend en
considération le domaine d’application élargi de la loi.
Concernant la lettre b (Information des utilisateurs)
La nouvelle disposition permet de garantir l’information des utilisateurs en cas de
violation de la sécurité informatique sur un système informatique qu’ils utilisent. À cette
heure, les utilisateurs sont informés de manière hétérogène par les différents
prestataires. L’avertissement des utilisateurs doit leur permettre de prendre eux-mêmes
des mesures pour se prémunir contre les logiciels malveillants présents sur leurs
systèmes. Pour ce faire, les utilisateurs doivent disposer d’outils adaptés qui leur
permettront de mettre en œuvre des mesures de protection adéquates. C’est la raison
pour laquelle, en plus d’être soumis à une obligation d’information, les prestataires de
services de télécommunications publics doivent indiquer aux utilisateurs des outils de
protection faciles à utiliser dans la mesure où cela est techniquement possible et
acceptable. Ces outils doivent pouvoir être utilisés tant pour la prévention que pour
l’élimination des perturbations occasionnées lorsqu’un système informatique est déjà
infecté par un logiciel malveillant.
La prestataire n’est pas dans l’obligation de réaliser une analyse personnalisée du
système ou de fournir des conseils sur mesure. Dans les cas où il est techniquement
impossible d’avertir les utilisateurs concernés en quelques jours, le prestataire est
autorisé à informer et à indiquer un outil de protection uniquement à ses abonnés. Il
devra particulièrement veiller à l’accessibilité des outils de protection offerts.
L’insertion de l’expression «dès qu’il en est informé» précise le fait que le prestataire ait
le droit de transmettre des données déjà recueillies et enregistrées (par exemple dans le
cadre de l’article 100, paragraphe 1 de la loi sur les télécommunications) uniquement
afin d’informer les utilisateurs. Il est interdit de recueillir d’autres données exclusivement
afin d’avertir des utilisateurs.
- 68 Concernant la lettre c (Amendements consécutifs)
La lettre c contient un amendement consécutif nécessaire.
Concernant le point 5 (Amendement des dispositions relatives aux amendes)
Le point 5 contient un amendement consécutif nécessaire pour élargir les obligations de
déclaration définies à l’article 109, paragraphe 5 de la loi sur les télécommunications.
Concernant l’article 6 (Amendement de la loi sur le régime de la rémunération des
fonctionnaires et personnels assimilés)
Concernant les points 1 et 2 (Suppression des échelons)
La suppression de l’échelon de président du BSI du personnel assimilé de l’échelon B 7
prend en compte le nouveau rôle national et international de l’Office fédéral de la
sécurité informatique. L’Office fédéral occupe un rôle de plus en plus important dans
l’architecture de sécurité de la République fédérale d’Allemagne en raison de la
numérisation croissante de tous les niveaux de la société et de la menace cybernétique
grandissante. Outre l’élargissement du domaine d’application qui accompagne la
présente loi, les responsabilités et missions du BSI ne cessent de s’étendre sur la base
de la situation juridique en vigueur. L’Office fédéral joue un rôle national et international
de plus en plus essentiel auprès de ses interlocuteurs comme dans le cadre de sa
mission de défense des intérêts publics.
Concernant l’article 7 (Amendement de la loi sur l’Office fédéral de police
criminelle)
Concernant les points 1 et 2 (Élargissement des responsabilités)
Cette disposition élargit les responsabilités de l’Office fédéral de la police criminelle
(BKA) dans son action policière en matière de répression pénale aux infractions définies
aux articles 202a, 202b, 202c, 263a et 303a du Code pénal allemand alors qu’elles se
limitaient jusqu’ici aux infractions définies à l’article 303b du Code pénal allemand
(sabotage informatique) . En plus des cas pour lesquels les infractions précitées portent
sur la sécurité intérieure ou extérieure de la République fédérale d’Allemagne ou sur les
vulnérabilités de structures vitales, il est défini que de telles infractions commises envers
les structures fédérales relèvent également de la responsabilité du BKA. Jusqu’à
présent, la fonction policière de répression pénale relève généralement de la
responsabilité des Länder, et localement, la responsabilité est souvent définie au hasard
en fonction du lieu où l’incident survient en premier lieu. Il est précisément nécessaire
- 69 de définir clairement la responsabilité des institutions allemandes en cas d’attaque. Les
pouvoirs et les responsabilités en matière d’information restent inchangés.
Concernant l’article 8 (Nouvel amendement de la loi sur le BSI)
Il est nécessaire d’amender la loi sur le BSU, car l’article 3, paragraphe 7 de la loi sur la
réforme structurelle du droit fiscal de la République fédérale d’Allemagne du 7 août 2013
(Journal officiel de la République fédérale d’Allemagne I, p. 3 154) n’est plus applicable.
Concernant l’article 9 (Amendement de la loi allemande sur la réforme structurelle
du droit fiscal de la République fédérale d’Allemagne)
Se référer à l’exposé des motifs de l’article 8.
Concernant l’article 10 (Entrée en vigueur)
Cette disposition réglemente l’entrée en vigueur de la loi. Pour la phrase 2, se référer à
l’exposé des motifs de l’article 8.
La loi devra être évaluée cinq années après l’entrée en vigueur du décret promulgué
aux termes de l’article 10, paragraphe 1 de la loi sur le BSI en ayant recours au plan
d’évaluation prévu pour le nouveau projet de disposition conformément au programme
d’amélioration de l’élaboration des lois du gouvernement fédéral du
28 mars 2012, point II. 3.
- 39 -
Intitulé du document:
840903327
Auteur:
BMI
Version:
8.12.2014 15 h 37
...
Documents connexes
S.I.N.-1.1.2_3
S.I.N.-1.1.2_3
Rédiger un compte rendu de sortie sous forme
Rédiger un compte rendu de sortie sous forme
3 étapes pour construire un paragraphe argumenté FAIRE UN
3 étapes pour construire un paragraphe argumenté FAIRE UN
Écrit #3
Écrit #3
Réussir une synthèse
Réussir une synthèse
Rédaction du fait divers :
Rédaction du fait divers :
La méthode de l`introduction du commentaire est la même que celle
La méthode de l`introduction du commentaire est la même que celle
Cours de Remédiation - Mercredi 18 Novembre 2009 Extrait
Cours de Remédiation - Mercredi 18 Novembre 2009 Extrait
CLASSE : NOM : PRENOM :
CLASSE : NOM : PRENOM :
LE DEPLOIEMENT DU DOSSIER PATIENT INFORMATISÉ EN
LE DEPLOIEMENT DU DOSSIER PATIENT INFORMATISÉ EN
Téléchargement
publicité